Was ist Informationssicherheit? Wozu soll ich ein ISMS in meiner Organisation einführen? Wo fange ich am besten an? Und wie soll ich das denn überhaupt alles noch bewältigen? Der Irrglaube ist groß, dass ISMS-Projekte bei Null starten. Viele Anforderungen werden bereits heute von den meisten Organisationen erfüllt. Die Daten sind in den Organisationen vorhanden und müssen nur noch mit den entsprechenden Informationen angereichert werden.
Keine Angst vor einem Informationssicherheit-Managementsystem (ISMS)
Ein Managementsystem in der Organisation ist letztlich nichts anderes als ein Führungssystem der Geschäftsleitung. Unter dieser Prämisse sollten wir annehmen können, dass jede Organisation bereits über ein Managementsystem verfügt. Hier liegen die Unterschiede nur in der Form, der Ausprägung und der Qualität. Fast jede Organisation besitzt eine gewisse Aufstellung von Verfahren, Regeln und Prozessen. Diese dient dazu, Maßnahmen zur Erreichung der Unternehmensziele zu planen, zu definieren, zu kontrollieren, aufrecht zu erhalten und kontinuierlich zu verbessern. Ein ISMS legt den Schwerpunkt auf Informationssicherheit und zielt dabei auf den Schutz der unternehmenseigenen Werte ab. Somit sollte ein ISMS eine Selbstverständlichkeit jedes unternehmerischen Handelns darstellen.
Jens Heidland, Lead Auditor ISO27001 & IT-Sicherheitskatalog (BNetzA) und Leiter Consulting bei CONTECHNET, beantwortet in einem auf it-daily.net erschienenen Interview folgende Fragen:
- Informationssicherheit ist gleich IT-Sicherheit? Wo ist hier die Abgrenzung?
- Wo sollte das Thema im Unternehmen organisatorisch eingebunden sein? Ist die IT dafür die beste Organisationseinheit?
- Gibt es einen Nutzen für die Organisation?
- Wir haben doch schon eine ISO 9001 Zertifizierung und einen Datenschützer! Reicht das nicht aus?
- Make or buy? Was ist wirtschaftlicher? Welche Unterstützungsmöglichkeiten habe ich?
Informationssicherheit und Datenschutz im Doppelpack
Die starken Parallelen zu einem Informationssicherheits-Managementsystem (ISMS) machen die Einbindung der EU-DSGVO-Anforderungen in ein ISMS sinnvoll. Die gemeinsame Datenbasis, einschließlich der engen Zusammenarbeit von Mitarbeitern für Datenschutz und Informationssicherheit, schafft weiterhin Synergieeffekte. Damit können Unternehmen mit einem ISMS gleich zwei Anforderungen erfüllen: Informationssicherheit und Datenschutz. Weitere Informationen dazu finden Interessierte auf it-daily.net.
Einführung eines Risiko-Managementsystems
Im Zuge der Implementierung eines ISMS muss sich jede Organisation mit dem Thema Risikomanagement auseinandersetzen. Schutzbedarf, Risiko, Gefährdung, Risikokriterien, Risikoakzeptanz. Diese unterschiedlichen Begriffe gilt es zu verstehen, einzuordnen und in den Zusammenhang zu bringen. Doch was genau steckt dahinter? Ist eine Gefährdung einem Risiko gleichzusetzen? Was können mögliche Risikokriterien sein? Und ab wann greift die Risikoakzeptanz? Die Verwirrung ist groß, was genau ist zu tun und vor allem wie?
Das Risikomanagement bildet das Kernelement eines ISMS. Man stelle sich also einmal vor, was passiert, wenn man die Aufgabe erhält, einen Prozess zur Informationssicherheitsrisikobeurteilung zu definieren. Wer kennt den Normtext und weiß, wie die Begriffe einzuordnen sind? In der Realität wären wohl die meisten von uns erst mal ziemlich ratlos und würden nach entsprechenden Hilfestellungen suchen. Das IT-Risikomanagement kann mit Hilfe einer Softwarelösung um ein vielfaches erleichtert werden. Weitere Informationen über gelebtes Risikomanagement stehen auf it-daily.net.
Return on Investment eines ISMS
Die Lektüre der genannten Fachartikel lässt die eingangs erwähnten Fragezeichen in den Gesichtern der IT-Verantwortlichen rasch verschwinden. Vielmehr vermittelt sie den Lesern das gewaltige Potential, das in einem ISMS steckt:
- Die Organisation erhöht mit einem ISMS den Schutz ihrer Unternehmenswerte.
- Zuständigkeiten werden geklärt, damit ist schnelles Reagieren sowie Handeln bei Störungen oder im Notfall möglich.
- Die Einhaltung und Erfüllung der zahlreichen Anforderungen aus den Bereichen Datenschutz (EU-DSGVO) und Informationssicherheit lassen sich effizient mit einem ISMS umsetzen.
- Das Risikomanagement bildet das Kernelement eines ISMS. Dadurch erhalten Anwender mit wenig Aufwand einen genauen Überblick über die kritischen Assets (Unternehmenswerte) und damit die tatsächlichen Risiken für ihre Organisation.
- „Last but not least:“ Die Menschen in der Organisation fangen wieder an, deutlich mehr miteinander zu sprechen und ziehen gemeinsam an einem Strang. Wenn auch teilweise nur schwer messbar, so sind die Auswirkungen nach der Einführung eines ISMS doch deutlich zu spüren!
https://www.it-daily.net
Ansprechpartner:
Ulrich Parthier
it Verlag GmbH, Rudolf-Diesel-Ring 21, 82054 Sauerlach
Telefon: +49-8104-649414, E-Mail: u.parthier@it-verlag.de
Über die it verlag für Informationstechnik GmbH:
Die it verlag für Informationstechnik GmbH publiziert das Magazin it management mit dem Supplement it security. Im Online-Bereich stehen mit der Website www.it-daily.net und diversen Newslettern wertvolle Informationsquellen für IT Professionals zur Verfügung. Mit eBooks und Konferenzen zu Themen des Print-Magazins rundet der Verlag sein Informationsangebot ab.
www.it-daily.net