Aufbau eines Informationssicherheits-
managementsystems
Was Sie bei der Einrichtung Ihres ISMS beachten müssen.
Die schrittweise Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001 hat sich in der Vergangenheit als gängige Methode etabliert. Gründe dafür sind sicherlich ihre Praktikabilität und Effektivität. Auch wenn diese Methode darauf abzielt, ein ISMS zu entwickeln, das nicht nur die Informationssicherheit im gesamten Unternehmen verankert sondern auch flexibel genug ist, um spezielle Unternehmensanforderungen zu erfüllen, ist sie doch veraltet. Die ISO 27001 Richtlinie ist nämlich für Unternehmen mit weniger als 50 Beschäftigten weniger geeignet. Da jedoch so gut wie 90 Prozent der Unternehmen in diese Kategorie fallen, wurde eine weitere Richtlinie, die DIN SPEC 27076, entwickelt, die sich an KMU richtet. Mit dieser Richtlinie können KMU einen sogenannten CyberRisikoCheck durchführen und damit die Anforderungen an ihr ISMS erfüllen. Aber wollen wir Ihnen zunächst die Basics rund um das ISMS erläutern.
Was ist ein Informationssicherheits-managementsystem?
Ein Informationssicherheitsmanagementsystem legt Grundregeln, Abläufe und Zuständigkeiten fest, um die Sicherheit von Informationen innerhalb einer Organisation nachhaltig zu gewährleisten, überwachen und kontinuierlich zu verbessern.
Typischerweise konzentriert sich ein ISMS auf das Verhalten der Angestellten, die Handhabung von Daten sowie die Nutzung von Technologien. Es kann speziell auf bestimmte Datentypen, wie etwa Kundeninformationen, zugeschnitten sein.
Die Einrichtung eines solchen Systems erfolgt meist gemäß von Richtlinien, wie der ISO 27001 oder der DIN SPEC 27076. Unter Einhaltung dieser Richtlinien gelingt es Unternehmen, ein ISMS einzurichten, dass jegliche Anforderungen erfüllt. Diese Richtlinien bilden dabei eine Art Etappenlauf, an dessen Schlusslinie das umfänglich aufgebaute ISMS steht.
DIN SPEC 27076
Die DIN SPEC 27076 richtet sich an kleine und Kleinstunternehmen, um ihnen eine IT-Sicherheitsberatung anzubieten, die auf ihre spezifischen Bedürfnisse zugeschnitten ist. Entwickelt wurde sie von einem Konsortium unter Leitung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der daraus resultierende CyberRisikoCheck ermöglicht eine standardisierte Beratung durch IT-Dienstleister, wobei Unternehmen auf Basis eines Interviews bewertet werden. Dabei werden 27 Anforderungen aus sechs Themenbereichen geprüft und entsprechende Handlungsempfehlungen gegeben. Diese Bereiche decken verschiedene Aspekte der Informationssicherheit ab und bieten einen Rahmen für die Implementierung eines ISMS in kleinen und Kleinstunternehmen. Die konkreten Richtlinien beinhalten Maßnahmen zur Risikobewertung, Sicherheitsrichtlinien, Organisation der Informationssicherheit, Asset Management, Zugriffskontrolle und Kommunikationsmanagement. Diese Richtlinien sind darauf ausgerichtet, Unternehmen dabei zu unterstützen, ihre Informationssicherheit systematisch zu verbessern und Risiken zu minimieren.
NIS 2
Die NIS-2-Richtlinie (Network and Information Security Directive) ist eine EU-Richtlinie, die darauf abzielt, die Cybersicherheit in der Europäischen Union zu stärken. Sie ist die Weiterentwicklung der zuvor eingeführten Cybersicherheitsvorschriften von 2016.
Ein wesentlicher Aspekt der NIS-2-Richtlinie ist die Festlegung von Mindestsicherheitsanforderungen und die Etablierung nationaler Behörden zur Überwachung der Einhaltung dieser Anforderungen. Darüber hinaus fördert die Richtlinie die Zusammenarbeit und den Informationsaustausch zwischen den EU-Mitgliedstaaten, um eine effektive Reaktion auf Cyberbedrohungen zu gewährleisten.
Die NIS-2-Richtlinie ist Teil der Bemühungen der Europäischen Union, die Cybersicherheit zu stärken und ein hohes Maß an Sicherheit für digitale Dienste und kritische Infrastrukturen zu gewährleisten.
VdS 10000
Die VdS 10000 Richtlinien repräsentieren einen branchenneutralen Maßnahmenkatalog für ein ISMS, der speziell für die Bedürfnisse kleiner und mittlerer Unternehmen (KMU) konzipiert wurde. Diese Richtlinien dienen dazu, den Informationssicherheitsstatus eines Unternehmens zu verbessern. Im Vergleich zur Implementierung des umfangreicheren ISO 27001 Standards, ermöglicht VdS 10000 KMUs, mit etwa 20% des Aufwandes, ein angemessenes Maß an Informationssicherheit zu erreichen. Die VdS 10000 sind dabei aufwärtskompatibel zu ISO/IEC 27001 und zum IT-Grundschutz, bieten eine eindeutige Sprachregelung für die Verbindlichkeit von Maßnahmen und umfassen konkrete Empfehlungen zur Absicherung der IT-Infrastrukturen, um ein angemessenes Schutzniveau zu erzielen.
Da die Anwendung und Umsetzung der ISO 27000er Reihe und der BSI-Grundschutzkataloge für kleine und mittelständische Unternehmen oftmals zu komplex bzw. zu aufwändig ist, erhalten solche Unternehmen mit den VdS-Richtlinien 10000 (ehemals VdS 3473) ein komplettes ISMS, um ein angemessenes Sicherheitsniveau im Unternehmen herzustellen – ohne organisatorische oder wirtschaftliche Überlastung fürchten zu müssen.
ISO 27001
ISO/IEC 27001 ist ein international anerkannter Standard, der die Anforderungen für ein ISMS festlegt. Im Kontext des ISMS bietet dieser Standard einen Rahmen für Organisationen jeglicher Größe und Art, um ihre Informationen sicher zu verwalten. Die Hauptziele von ISO/IEC 27001 bestehen darin, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationssystemen und -daten zu gewährleisten.
Der PDCA-Zyklus zum Aufbau eines ISMS
Ein effektives ISMS muss flexibel genug sein, um sich dem fortlaufenden Wandel in den Sicherheitsanforderungen anzupassen. Diese Notwendigkeit ergibt sich aus der Erkenntnis, dass es nicht genügt, einmalig zu identifizieren, welche Werte des Unternehmens schutzbedürftig sind und anschließend Richtlinien, Prozesse sowie Schutzmaßnahmen festzulegen. Ein bewährter Ansatz zur fortwährenden Optimierung ist der PDCA-Zyklus (Plan-Do-Check-Act), der ursprünglich aus dem Qualitätsmanagement gemäß ISO 9001 stammt und auch als Deming-Rad bekannt ist.
Plan - Planung
Die erste Phase des Prozesses ist die Planungs-Phase. Hier ist es zunächst wichtig, Ziele zu setzen und die nötigen Anforderungen auszumachen. Eine Bestandsaufnahme der aktuellen Situation ermöglicht es, vorhandene Prozesse, Informationen und relevante Dokumente wie Richtlinien und Konzepte zu ermitteln. Ein Risikomanagement sollte sowohl für die Informationssicherheit als auch für den Datenschutz implementiert werden. Anschließend werden Maßnahmen festgelegt, die notwendig sind, um den angestrebten Zustand zu erreichen. Diese Maßnahmen werden am Ende der Planungsphase in einen detaillierten Plan zur Umsetzung integriert.
Do - Umsetzung
Im nächsten Schritt werden die zuvor geplanten Ziele und Maßnahmen durchgeführt. Außerdem wird der zuvor festgelegte Umsetzungsplan den Beschäftigten mitgeteilt und die Verantwortlichkeiten sowie ergriffenen Maßnahmen dokumentiert. In diesem Schritt des Zyklus sollte zudem ein Fokus auf die Schulung der Beschäftigten gelegt werden.
Check - Überprüfung
Nachdem die Planung umgesetzt wurde, ist es zwingend notwendig, diese Umsetzung zu prüfen, um deren Wirksamkeit festzustellen. Eine solche Überwachung sollte daher in regelmäßigen Abständen erfolgen, um sicherzustellen, dass die geplanten Maßnahmen auch im Zeitverlauf ihre Wirkung erfüllen.
Act - Instandhaltung
In der dritten Phase, der Überprüfung, kann sich herausstellen, dass Ziele, Richtlinien und Maßnahmen angepasst, zurückgezogen oder durch neue ersetzt werden müssen. Die Phase „Act“ ist somit der Zeitpunkt, an dem Verbesserungen vorgenommen oder Mängel behoben werden. Die ISO-Norm schreibt vor, dass die Informationssicherheit – einschließlich der Ziele, Richtlinien und Maßnahmen – stetig verbessert werden muss.
Wovon ist der Erfolg des Aufbaus eines ISMS abhängig?
Zunächst ist es notwendig, dass das Management eines Unternehmens die Einführung und den Betrieb des ISMS unterstützt. Eine Top-Down-Planung ist demnach essenziell. Für die Implementierung und Aufrechterhaltung eines ISMS ist es entscheidend, dass das Top-Management genügend Ressourcen zur Verfügung stellt. Die Herausforderung hierbei ist, dass eine genaue Einschätzung des notwendigen Gesamtinvestitionsvolumens für die Einführung und den laufenden Betrieb des ISMS oft erst möglich ist, nachdem eine umfassende Risikoanalyse durchgeführt wurde. Zudem ist es wichtig, dass im Management ein klares Bewusstsein darüber herrscht, welche Vermögenswerte und Geschäftsprozesse schutzbedürftig sind. Die ausgewählten Maßnahmen zur Gewährleistung der Informationssicherheit müssen nicht nur geeignet sein, sondern auch angemessen implementiert werden.
Um auf allen Organisationsebenen ein Bewusstsein und Verständnis für Informationssicherheit zu schaffen, ist es unabdingbar, alle relevanten Personen von Beginn an in die Planung und Einführung des ISMS einzubeziehen. Eine effektive und angemessene Kommunikation spielt dabei eine Schlüsselrolle. Weiterhin ist es essentiell, die Effektivität der Informationssicherheitsmaßnahmen regelmäßig zu messen und zu evaluieren, um sicherzustellen, dass die gesetzten Sicherheitsziele erreicht werden.
Sie benötigen Hilfe beim Aufbau Ihres ISMS? Als externer Informationssicherheits-beauftragter unterstützen wir Sie gerne!
Externer ISB für KMU
Als Beratungsdienstleister und externer Informationssicherheitsbeauftragter unterstützen wir Sie bei der Ausarbeitung und Entwicklung einer IT-Sicherheitsstrategie, die zu Ihrem Unternehmen passt.
- Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Projekten
- Beratung, Software & Schulung aus einer Hand
- Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich