Wenn es um IT- und Datensicherheit geht, kommt immer wieder der Begriff des Informationssicherheits-Managementsystems (ISMS) ins Spiel. Doch was genau ist ein ISMS? Inwiefern kann man Informationssicherheit systematisch managen? Welche Organisationen sollten sich damit beschäftigen? Was für Vorteile bietet die Errichtung eines ISMS?
Was ist ein ISMS?
Wie schon der Begriff sagt, geht es um ein System zum Management von Informationssicherheit. Gemeint ist der Prozess – oder vielmehr die Gesamtheit der einzelnen Prozesse – die eine Stelle etabliert, um
- die eigenen Anforderungen im Bereich der Informationssicherheit auf eine geregelte Art und Weise zu erfüllen,
- den Erfolg dieser Bemühungen zu messen und
- notwendige Anpassungen vorzunehmen.
Wie bei anderen Managementsystemen (etwa: Datenschutz-Managementsystem – DSMS) ist auch beim ISMS ein Vorgehen typisch und sinnvoll, welches sich an den vier Schritten Plan, Do, Check und Act (PDCA-Zyklus bzw. Demingkreis) orientiert.
Plan / Planen
In diesem unverzichtbaren Schritt zu Beginn geht es erst einmal darum, überhaupt zu verstehen, welche Ziele es in einem bestimmten Bereich zu erreichen gilt.
- Was muss man konkret erreichen?
- Warum muss man dies erreichen? Etwa weil es ein Gesetz unmittelbar vorgibt (z.B. IT-Sicherheitsgesetz) oder mittelbar über Branchenspezifische Sicherheitsstandards (B3S, z.B. zur medizinischen Versorgung) oder weil man vertraglich dazu verpflichtet ist?
- Drohen Haftung oder andere Nachteile, die man vermeiden möchte? Man spricht hier von Risiken, die vermieden werden sollen.
Ebenso sollte bedacht werden, was man zwar nicht erreichen muss, aber gerne erreichen will. Gibt es eine bestimmte Erwartungshaltung auf dem Markt? Bekommt man den interessanten Auftrag leichter oder sogar nur, wenn bestimmte Voraussetzungen erfüllt werden (z.B. in der Automobilindustrie der Standard TISAX)?
Möchte man unabhängig solcher externen Gesichtspunkte die eigenen Prozesse verbessern und das Unternehmen unabhängig von bestimmten Einzelpersonen machen? Ist ein weiteres Wachstum nur möglich, wenn das eigene Vorgehen strukturierter wird? Solche Chancen sollten ebenfalls bekannt sein.
Die Norm ISO 27001 spricht hier insgesamt vom Kontext der Organisation, den es festzustellen gilt. Welche Erwartungen und Abhängigkeiten bestehen und welche Parteien haben an diesen ein Interesse? Kurz gesagt: Was verlangen Inhaber, Gesellschafter, Anteilseigner, Kunden, Aufsichtsbehörden und nicht zuletzt der Gesetzgeber?
Wer also ein ISMS errichten will, muss im Schritt Plan die verbindlichen Kriterien festgelegen, nach denen Risiken identifiziert, beurteilt und gewichtet werden.
Ergebnis dieser ganzen Überlegungen ist eine Vielzahl von Regelungen, in denen vorgegeben wird, was, wie und auf welchem Wege mit welchen Mitteln und durch wen als Verantwortlichem erreicht werden soll.
Nachdem die Gesamtverantwortung immer beim Management liegt, muss dieses selbst die verfolgte Strategie in einem zentralen, übergeordneten Dokument verbindlich festlegen und auch aussagen, wo und wofür diese überhaupt gelten sollen. Der sogenannte Geltungsbereich für das geplante ISMS muss definiert und vorgegeben werden. Oft wird dieses Dokument als Leitlinie bezeichnet.
Neben dem Geltungsbereich ist unter anderem auch vorzugeben, welche Organisation aufgebaut wird und welche konkreten Verantwortlichkeiten darin verteilt werden. Zentral ist etwa, dass ein Informationssicherheitsbeauftragter (ISB) eingesetzt wird, der auch konkrete Aufgaben und dazu passende Befugnisse erhält.
Aus den in der ISMS-Leitlinie enthaltenen Vorgaben leitet sich alles weitere ab. Die eher abstrakten Regelungen der Leitlinie müssen durch weitere Regelungen ergänzt und ggf. ausgefüllt werden, so dass am Ende jeder einzelne Prozess angemessen detailliert beschrieben ist.
Um ein griffiges Beispiel zu nennen:
- Die Leitlinie sagt abstrakt aus, dass Netzwerke abgesichert sein müssen.
- Dies wird ergänzt durch Regelungen, die erklären, was das konkret bedeutet: Also beispielsweise: „Einsatz einer Firewall, Netzwerksegmentierung, Verschlüsselung“.
- Irgendwann am Ende der Kette steht dann das Konzept für den spezifischen Einzelfall: Welche konkrete Firewall wird eingesetzt und wie ist diese im Detail zu konfigurieren?
Do / Umsetzen
In diesem Schritt der ISMS-Errichtung erfolgt die Umsetzung – und zwar nur und exakt wie geregelt. Stellt man hier bereits fest, dass es wie geplant doch nicht funktioniert, darf nicht allein die Umsetzung angepasst werden, sondern es ist zwingend auch die zuvor erstellte Regelung entsprechend zu verändern.
Alles steht unter der Voraussetzung, dass die höherrangigen Vorgaben und insbesondere die Leitlinie beachtet sind. Entsprechend ist vorzugehen, wenn sich etwa herausstellt, dass Prozesse vergessen wurden. Gegebenenfalls ist die Dokumentation des bislang nur gelebten (aber nicht dokumentierten) Prozesses nachzuholen. Dabei ist er darauf zu prüfen, ob er mit den allgemeinen Vorgaben des ISMS in Einklang steht.
Auch die regelmäßige Bewertung und ggf. erneute Bewertung von Risiken erfolgt auf dieser Stufe des Informationssicherheits-Managementsystems.
Check / Überprüfen
Nach der Umsetzung tritt man nun gedanklich einen Schritt zurück und betrachtet die Ergebnisse. Sind die Ziele auf den vorbestimmten Wegen erreicht worden? Es geht um die Selbstkontrolle, die Messung, interne Audits. Essentiell hierfür sind dementsprechend messbare Ziele, die sich bereits in den Regelungen finden lassen sollten. Was wird wie oft kontrolliert und was ist der Sollzustand bei einer Kontrolle?
Act / Handeln
Stellt sich bei einer Kontrolle heraus, dass die Vorgaben nicht erreicht wurden, geht es an die Fehleranalyse. Warum hat etwas nicht funktioniert und was muss angepasst werden, damit es in Zukunft besser läuft? Die Notwendigkeit, über diese Fragen nachzudenken, kann natürlich auch ungeplant entstehen. Jeder Vorfall im Bereich der Informationssicherheit liefert Anlass zur Selbstreflektion.
Welche Vorteile hat ein ISMS?
Die Vorteile eines Informationssicherheits-Managementsystems liegen auf der Hand. Es obliegt sowieso jedem Unternehmen bzw. jeder Organisation, die eigenen Prozesse angemessen im Griff zu haben. Dies gehört schlichtweg zur sorgfältigen Geschäftsführung; wer diese Pflichten vernachlässigt, haftet möglicherweise. Zudem gibt es mittlerweile immer mehr Vorschriften, die Informationssicherheit ausdrücklich vorschreiben (Datenschutz-Grundverordnung, Gesetze im Zusammenhang mit Kritischen Infrastrukturen).
Weitere Aspekte eines ISMS wurde bereits angesprochen. Das Vorgehen nach PDCS führt zwangsläufig dazu, dass ein Unternehmen insgesamt besser wird. Die eigenen Prozesse werden immer wieder hinterfragt. Durch die Dokumentation sind Abläufe nicht nur eingeweihten Spezialisten bekannt, sondern können kurzfristig durch andere übernommen werden. Die Zielerreichung wird gemessen. Am Ende steht die Suche nach Verbesserungsmöglichkeiten. Insgesamt betrachtet, ist die Idee, vorher nachzudenken, dann geplant zu handeln und die Ergebnisse im Auge zu behalten, ja vielleicht auch in anderen Bereichen sinnvoll.
Zuletzt noch der Hinweis, dass ein ISMS zertifizierbar und damit objektiv nachweisbar ist. Im Bedarfsfall ein Zeugnis einer akkreditierten Stelle in der Hand zu haben, welches schwarz auf weiß belegt, dass etwa ein ordnungsgemäßes ISMS nach der ISO 27001 besteht, kann ein enormer Vorteil sein. Auftraggeber und Kunden verlassen sich auf solch ein Siegel. Es hebt das eigene Unternehmen für Interessenten aus der Masse der Anbieter heraus. Es bezeugt, dass Informationssicherheit ernst genommen und nach anerkannten Regeln betrieben wird.
activeMind berät und betreut Unternehmen und Organisationen seit vielen Jahren im Bereich ISMS. Gerne helfen wir auch Ihnen, ein geeignetes ISMS einzuführen und erfolgreich zertifizieren zu lassen. Sogar mit Erfolgsgarantie!