Ein Managementsystem im Allgemeinen beschreibt aufeinander abgestimmte und miteinander verbundene Prozesse, die zur Erfüllung vorher definierter Unternehmensziele dienen. Das „System“ (Prozesse, Aufgaben, etc.) dient dabei als Instrument für das Management, um die vom Unternehmen festgelegten Ziele, deren Wirksamkeit, Effizienz und abgeleiteten Maßnahmen kontinuierlich zu überwachen und zu verbessern.
Ein Informationssicherheitsmanagementsystem (ISMS) enthält alle wesentlichen Merkmale eines Managementsystems – die Ergänzung „Informationssicherheit“ setzt jedoch den Fokus auf diesen speziellen Themenbereich. Das wohl bekannteste und etablierteste ISMS in Unternehmen wird in der Norm ISO/IEC 27001 beschrieben.
Das Ziel eines ISMS besteht im Wesentlichen darin, die Informationssicherheit eines Unternehmens risikoorientiert und kontinuierlich zu verbessern. Dabei ist es von großer Bedeutung, dass sich das ISMS bzw. die Ziele des ISMS an den Unternehmenszielen der Organisation orientieren, um die Erfüllung dieser zu unterstützen.
Um angemessene und zielorientierte Prozesse zur Verbesserung der Informationssicherheit etablieren zu können, ist die primäre Aufgabe eines ISMS die Informationssicherheitsrisiken einer Organisation zu identifizieren. Auf Basis der ermittelten Risiken werden Informationssicherheitsziele (IS-Ziele) im Einklang mit den Unternehmenszielen definiert, Maßnahmen zur Erreichung der Ziele abgeleitet und durch die Organisation umgesetzt.
Die Umsetzung, Wirksamkeit und Effizienz der Maßnahmen zur Erfüllung der IS-Ziele – und damit auch die Reduzierung der initial identifizierten Informationssicherheitsrisiken – wird in regelmäßigen Abständen überprüft (z. B. durch interne oder externe Audits). Nur so kann sichergestellt werden, dass die Maßnahmen ihren Zweck erfüllt haben. Wurden alle Ziele erreicht und alle Maßnahmen wirksam umgesetzt, beginnt die Organisation erneut mit der Risikobewertung und der Definition von Maßnahmen (kontinuierlicher Verbesserungsprozess).
Zusammenfassend ergeben sich folgende Aufgaben für ein ISMS:
In der folgenden Abbildung sind die unterschiedlichen Aufgaben eines ISMS graphisch unter Verwendung des PDCA – Zyklus (Deming Kreis) aufbereitet. Der PDCA-Zyklus findet sich in jedem Managementsystem wieder.
Abb. PDCA-Zyklus
Ein ISMS leistet einen wesentlichen Beitrag zur Erfüllung der Unternehmensziele. Mögliche Risiken werden frühzeitig identifiziert und Sicherheitslücken können rechtzeitig behoben werden.
Haben Sie noch Fragen zum Thema ISMS – senden Sie uns Ihre Nachricht! Wir freuen uns auf die Zusammenarbeit mit Ihnen!
Ihr ALPS-Experten-Team