ALPS GmbH

Ziele und Aufgaben eines ISMS

Juli 2019 ISMS, IT-Sicherheit Christoph Neukam

ISMS bedeutet Zusammenarbeit von Management und System

photo by Rawpixel on Unsplash

Ein Managementsystem im Allgemeinen beschreibt aufeinander abgestimmte und miteinander verbundene Prozesse, die zur Erfüllung vorher definierter Unternehmensziele dienen. Das „System“ (Prozesse, Aufgaben, etc.) dient dabei als Instrument für das Management, um die vom Unternehmen festgelegten Ziele, deren Wirksamkeit, Effizienz und abgeleiteten Maßnahmen kontinuierlich zu überwachen und zu verbessern.

Was ist der Unterschied zu einem Informationssicherheitsmanagementsystem?

Ein Informationssicherheitsmanagementsystem (ISMS) enthält alle wesentlichen Merkmale eines Managementsystems – die Ergänzung „Informationssicherheit“ setzt jedoch den Fokus auf diesen speziellen Themenbereich. Das wohl bekannteste und etablierteste ISMS in Unternehmen wird in der Norm ISO/IEC 27001 beschrieben.

Welche Ziele hat ein ISMS?

Das Ziel eines ISMS besteht im Wesentlichen darin, die Informationssicherheit eines Unternehmens risikoorientiert und kontinuierlich zu verbessern. Dabei ist es von großer Bedeutung, dass sich das ISMS bzw. die Ziele des ISMS an den Unternehmenszielen der Organisation orientieren, um die Erfüllung dieser zu unterstützen.

Um angemessene und zielorientierte Prozesse zur Verbesserung der Informationssicherheit etablieren zu können, ist die primäre Aufgabe eines ISMS die Informationssicherheitsrisiken einer Organisation zu identifizieren. Auf Basis der ermittelten Risiken werden Informationssicherheitsziele (IS-Ziele) im Einklang mit den Unternehmenszielen definiert, Maßnahmen zur Erreichung der Ziele abgeleitet und durch die Organisation umgesetzt.

Die Umsetzung, Wirksamkeit und Effizienz der Maßnahmen zur Erfüllung der IS-Ziele – und damit auch die Reduzierung der initial identifizierten Informationssicherheitsrisiken – wird in regelmäßigen Abständen überprüft (z. B. durch interne oder externe Audits). Nur so kann sichergestellt werden, dass die Maßnahmen ihren Zweck erfüllt haben. Wurden alle Ziele erreicht und alle Maßnahmen wirksam umgesetzt, beginnt die Organisation erneut mit der Risikobewertung und der Definition von Maßnahmen (kontinuierlicher Verbesserungsprozess).

Welche Aufgaben hat das ISMS?

Zusammenfassend ergeben sich folgende Aufgaben für ein ISMS:

  • Identifikation von Informationssicherheitsrisiken
  • Definition von IS-Zielen mit Ausrichtung an die Unternehmensziele
  • Umsetzung von Maßnahmen zur Reduzierung der Risiken und der Erfüllung der IS-Ziele
  • Verankerung der Informationssicherheit in die Prozesse des Unternehmens
  • Wirksamkeitsprüfung der umgesetzten Maßnahmen

In der folgenden Abbildung sind die unterschiedlichen Aufgaben eines ISMS graphisch unter Verwendung des PDCA – Zyklus (Deming Kreis) aufbereitet. Der PDCA-Zyklus findet sich in jedem Managementsystem wieder.

 

Abbildung des PDCA-Zyklus mit Aufgaben eines ISMS

Abb. PDCA-Zyklus

 

Unser Fazit lautet:

Ein ISMS leistet einen wesentlichen Beitrag zur Erfüllung der Unternehmensziele. Mögliche Risiken werden frühzeitig identifiziert und Sicherheitslücken können rechtzeitig behoben werden.

Welche Leistungen bieten wir Ihnen an?

  • Wir erstellen gemeinsam mit Ihnen einen Projektplan und beraten Sie zu den einzelnen Projektschritten.
  • Wir übernehmen die Umsetzung und Abwicklung der geplanten Maßnahmen.
  • Wir beraten Sie zu internen und externen Audits.

 

Haben Sie noch Fragen zum Thema ISMS – senden Sie uns Ihre Nachricht! Wir freuen uns auf die Zusammenarbeit mit Ihnen!

Ihr ALPS-Experten-Team