Besuchen Sie uns auf der it-sa 2024!

Home>

Information Security Management System (ISMS)

Visualisierung von einem Sicherheitsschloss

Was ist ein Information Security Management System (ISMS)?

Ein Information Security Management System (ISMS) legt Regeln und Verfahren fest, mit denen sich die Informationssicherheit in einem Unternehmen sicherstellen, steuern, kontrollieren und kontinuierlich verbessern lässt.

Myra Services zum Thema: Blitzschnelle Traffic-Auswertung und frei konfigurierbare Datenanalyse mit Myra Analytics Data Lake

Auf einen
Blick

  1. 01. ISMS: eine Definition
    1. 02. Was ist Informationssicherheit?
      1. 03. Worin unterscheiden sich Informations- und IT-Sicherheit?
        1. 04. Was sind Schutzziele der Informationssicherheit?
          1. 05. Wer ist für Informationssicherheit im Unternehmen verantwortlich?
            1. 06. Welche Vorteile bietet ein ISMS?
              1. 07. Kann ein ISMS ein Datenschutzmanagementsystem ersetzen?
                1. 08. Was sind zentrale Schritte zur Umsetzung eines ISMS?
                  1. 09. Woran können sich Unternehmen beim Aufbau eines ISMS orientieren?
                    1. 10. Das ISMS von Myra ist nach ISO 27001 auf Basis von IT-Grundschutz zertifiziert
                      Code

                      01

                      ISMS: eine Definition

                      Ein Informationssicherheitsmanagementsystem definiert Regeln, Methoden, Prozesse und Tools, um die Informationssicherheit in Unternehmen und Behörden dauerhaft zu gewährleisten. Das schließt die Einführung konkreter Vorgehensweisen sowie die Durchführung organisatorischer und technischer Maßnahmen ein, die fortlaufend kontrolliert, überwacht und optimiert werden müssen.

                      Ziel ist es, über die IT-Abteilung hinaus für ein angemessenes Schutzniveau für Vertraulichkeit, Verfügbarkeit und Integrität von Informationen innerhalb der gesamten Organisation beziehungsweise des festgelegten Geltungsbereichs zu sorgen. Das ISMS bildet somit die Grundlage für eine systematische Umsetzung von Informationssicherheit innerhalb eines Unternehmens und für die Einhaltung von Sicherheitsstandards. Mögliche Risiken hinsichtlich der Informationssicherheit werden identifiziert, analysiert sowie minimiert und dadurch beherrschbar.

                      02

                      Was ist Informationssicherheit?

                      Der Begriff Informationssicherheit wird häufig synonym zu IT-Sicherheit gebraucht, geht aber streng genommen darüber hinaus. Informationssicherheit umfasst alles, was die Informationswerte eines Unternehmens vor Bedrohungen (z.B. Cyberangriffen, Sabotage, Spionage und Elementarschäden) und daraus resultierenden wirtschaftlichen oder Reputationsschäden schützt. Gesetzliche Regelungen wie das IT-Sicherheitsgesetz (IT-SiG) oder die Datenschutz-Grundverordnung (DSGVO) fordern angemessene Schutzmaßnahmen für sensible Informationen, die etwa in elektronischer, geschriebener oder gedruckter Form vorliegen können.

                      03

                      Worin unterscheiden sich Informations- und IT-Sicherheit?

                      Anders als IT-Sicherheit bezieht sich Informationssicherheit nicht nur auf die Sicherheit eingesetzter Technologie, sondern auch auf organisatorische Belange wie Zugangsberechtigungen und Verantwortlichkeiten. Entsprechend fällt die Informationssicherheit nicht allein in die Zuständigkeit der IT-Abteilung, sondern muss von der Geschäftsleitung ausgehend in allen Unternehmensbereichen umgesetzt werden.

                      Arbeiten an einem Laptop

                      04

                      Was sind Schutzziele der Informationssicherheit?

                      Die Schutzziele der Informationssicherheit umfassen nach der internationalen Standardfamilie ISO 27000 drei Hauptaspekte:

                      • Vertraulichkeit: Vertrauliche Informationen dürfen nur von autorisierten Personen eingesehen und offengelegt werden. Der Zugang zu diesen Informationen muss also entsprechend abgesichert sein. Die Vertraulichkeit ist verletzt, wenn ein Angreifer beispielsweise eine Kommunikation abhören kann.

                      • Integrität: Informationen müssen vor unerkannter Manipulation geschützt sein, um ihre Richtigkeit und Vollständigkeit zu wahren. Die Integrität ist verletzt, wenn ein Angreifer etwa Forschungsdaten unbemerkt verändern kann.

                      • Verfügbarkeit: Informationen, Dienste oder Ressourcen müssen für legitime User jederzeit verfügbar und nutzbar sein. Die Verfügbarkeit kann zum Beispiel durch einen DDoS-Angriff gestört werden, der Systeme gezielt überlastet.

                      Weitere Aspekte sind Authentizität, Zurechenbarkeit, Verbindlichkeit und Verlässlichkeit. Anhand der Erfüllung dieser Schutzziele lässt sich der erreichte Grad der Informationssicherheit erkennen.

                      05

                      Wer ist für Informationssicherheit im Unternehmen verantwortlich?

                      Um Informationssicherheit in jeglichen Unternehmensbereichen zu gewährleisten, müssen klare Verantwortlichkeiten definiert und alle notwendigen Ressourcen (Geld, Personal, Zeit) bereitgestellt werden. Dafür ist die oberste Leitungsebene im Unternehmen zuständig. Sie trägt die Gesamtverantwortung für die Informationssicherheit und ein angemessenes ISMS.

                      Einem Top-Down-Ansatz folgend obliegt es der Unternehmensleitung, den Sicherheitsprozess zu initiieren, eine Organisationsstruktur aufzubauen, Sicherheitsziele und Rahmenbedingungen festzulegen sowie Leitlinien zur Durchsetzung der Informationssicherheit aufzustellen. Deren detaillierte Ausgestaltung und Umsetzung als ISMS kann sie an Führungskräfte und Mitarbeiter übertragen.

                      Ein vom obersten Management zu benennender Informationssicherheitsbeauftragter fungiert als Ansprechpartner für sämtliche Fragen rund um die Informationssicherheit. Er muss in den ISMS-Prozess integriert sein und eng mit den IT-Verantwortlichen zusammenarbeiten, etwa bei der Auswahl neuer IT-Komponenten oder -Anwendungen.

                      06

                      Welche Vorteile bietet ein ISMS?

                      Mit einem ISMS lässt sich Informationssicherheit systematisch im gesamten Unternehmen umsetzen und sicherstellen, dass alle erforderlichen Sicherheitsstandards eingehalten werden. Dieser ganzheitliche, präventive Ansatz bietet einige Vorteile:

                      Schutz sensibler Informationen

                      Ein ISMS gewährleistet, dass eigene Informationswerte (z.B. geistiges Eigentum, Personal- oder Finanzdaten) sowie von Kunden oder Dritten anvertraute Daten angemessen vor jeglichen Bedrohungen geschützt sind.

                      Aufrechterhaltung der Geschäftskontinuität

                      Indem Firmen Informationssicherheit mittels eines ISMS zum integralen Bestandteil ihrer Unternehmensprozesse machen, können sie ihr Sicherheitsniveau fortlaufend steigern und Informationssicherheitsrisiken minimieren. So wirken sie der Gefahr entgegen, dass Sicherheitsvorfälle die Business Continuity stören.

                      Erfüllung von Compliance-Anforderungen

                      Insbesondere in hochregulierten Bereichen wie Finance oder kritische Infrastrukturen (KRITIS) gelten strenge Compliance-Vorgaben. Bei Verstößen gegen gesetzliche Regelungen und vertragliche Vereinbarungen drohen empfindliche Strafen. Mit einem ISMS stellen Unternehmen sicher, dass sie alle regulativen sowie vertraglichen Anforderungen erfüllen, was ihnen zugleich mehr Handlungs- und Rechtssicherheit beschert.

                      Nachweisbarkeit der Informationssicherheit

                      Durch eine Zertifizierung ihres ISMS können Unternehmen einen sicheren Umgang mit sensiblen Informationen gegenüber Dritten nachweisen. Das trägt zu einer besseren Außenwirkung und zur Vertrauensbildung bei, was wiederum einen Wettbewerbsvorteil bedeutet.

                      Verbesserte Wirtschaftlichkeit und Kostenreduzierung

                      Die strukturierte Koordination und risikoorientierte Maßnahmenplanung in einem ISMS hilft, Prioritäten zu setzen, Ressourcen effizient zu nutzen und an den richtigen Stellen zu investieren. Nach anfänglichem Mehraufwand lassen sich die Kosten somit langfristig senken.

                      Netzwerk Verbindungen

                      07

                      Kann ein ISMS ein Datenschutz-Managementsystem ersetzen?

                      Ein ISMS hilft zwar generell, zu schützende Informationen abzusichern, erfüllt jedoch nicht zwingend auch Datenschutzanforderungen hinsichtlich der sicheren Verarbeitung personenbezogener Daten. Denn innerhalb eines ISMS werden alle schützenswerten Informationen grundsätzlich gleich behandelt. Ein ISMS ersetzt also kein Datenschutzmanagementsystem (DSMS). Idealerweise setzt ein DSMS aber auf einem ISMS auf und erweitert es technisch sowie organisatorisch gemäß datenschutzrechtlicher Vorgaben (Artikel 25 und Artikel 32 DSGVO). Hier empfiehlt sich eine enge Zusammenarbeit zwischen Informationssicherheitsbeauftragten und Datenschutzbeauftragten.

                      08

                      Was sind zentrale Schritte zur Umsetzung eines ISMS?

                      Die effiziente und effektive Umsetzung eines ISMS ist ein sehr komplexer Prozess. Folgende Schritte sollten dabei beachtet werden:

                      Leistungsumfang festlegen

                      Zunächst gilt es zu klären, was das ISMS überhaupt leisten soll. Dazu muss die Unternehmensführung Anwendungsbereiche, Zielvorgaben und Grenzen des ISMS klar definieren.

                      Assets ermitteln

                      Welche Werte (Assets) sollen durch das ISMS geschützt werden? Das können Informationen, Software, Services und physische Vermögenswerte wie Computer sein, aber auch Qualifikationen, Fähigkeiten und Erfahrungen von Mitarbeitern sowie andere immaterielle Werte wie Reputation und Ansehen. Hier geht es vor allem darum, geschäftskritische Assets zu ermitteln, von denen das Überleben des Unternehmens abhängt.

                      Risiken ermitteln und bewerten

                      Für jedes schützenswerte Asset müssen mögliche Risiken identifiziert und anhand gesetzlicher Anforderungen oder Compliance-Richtlinien eingeordnet werden. Unternehmen sollten sich beispielsweise fragen, welche Auswirkungen durch die einzelnen Risiken entstehen, wenn Vertraulichkeit, Integrität und Verfügbarkeit verletzt werden, oder wie die Eintrittswahrscheinlichkeiten der Risiken sind. So gelangen sie am Ende zu einer Einschätzung, welche Risiken – etwa aufgrund der zu erwartenden Schadenshöhe – vertretbar sind und welche unbedingt adressiert werden müssen.

                      Maßnahmen festlegen

                      Auf Grundlage der vorherigen Risikobewertung sind anschließend geeignete technische und organisatorische Maßnahmen zur Risikominderung bzw. -vermeidung auszuwählen und umzusetzen. Dazu gehört auch, klare Zuständigkeiten und Verantwortlichkeiten zu definieren.

                      Wirksamkeit prüfen

                      Die beschlossenen und umgesetzten Maßnahmen müssen durchgängig überwacht und regelmäßig auf ihre Wirksamkeit hin überprüft werden, beispielsweise durch Audits.

                      Verbesserungen vornehmen

                      Hat die Überprüfung der eingeführten Maßnahmen Mängel ergeben oder wurden neue Risiken erkannt, muss der ISMS-Prozess erneut von Beginn an durchlaufen werden. So lässt sich das ISMS kontinuierlich an geänderte Rahmenbedingungen oder Anforderungen anpassen und damit die Informationssicherheit im Unternehmen fortlaufend verbessern.

                      Code auf einem Bildschirm

                      09

                      Woran können sich Unternehmen beim Aufbau eines ISMS orientieren?

                      Bei der Ausgestaltung eines ISMS und der Einführung aller notwendigen Sicherheitsmaßnahmen helfen etablierte Standards wie die ISO-27000-Familie oder der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte IT-Grundschutz. Ein nach diesen Standards betriebenes ISMS ermöglicht es, potenzielle Risiken frühzeitig zu erkennen und mittels darauf zugeschnittener Gegenmaßnahmen zu minimieren. Auf diese Weise können Unternehmen die Vertraulichkeit, Verfügbarkeit und Integrität sämtlicher Informationen sicherstellen.

                      Beide Standards betrachten Informationssicherheit als Prozess, der kontinuierlich angepasst werden muss, etwa an geänderte interne Abläufe, veränderte gesetzliche Rahmenbedingungen, neue Technologien oder bislang unbekannte Gefährdungen. Daher empfiehlt sich ein PDCA-Zyklus (oder Deming-Kreislauf), bestehend aus den Phasen Plan (Planen von Sicherheitsmaßnahmen), Do (Umsetzen der Maßnahmen), Check (Erfolgskontrolle durch durchgängige Überwachung) und Act (kontinuierliche Verbesserung).

                      In der Regel haben Unternehmen die Wahl, ob sie ihr ISMS nach der internationalen Norm ISO/IEC 27001 oder der „deutschen“ Variante ISO 27001 auf Basis von IT-Grundschutz aufbauen. Kleinere und mittelständische Unternehmen (KMU) sowie Kommunen können sich beim Aufbau eines ISMS auch an dem Standard CISIS12 orientieren, der einen konkreten Zwölf-Schritte-Plan und klare Umsetzungshinweise umfasst.

                      Händeschütteln

                      10

                      Das ISMS von Myra ist nach ISO 27001 auf Basis von IT-Grundschutz zertifiziert

                      Myra Security hat alle vom BSI definierten Schutzmaßnahmen gegen typische Gefährdungen der Unternehmens-IT erfolgreich umgesetzt. Das Zertifikat (Nummer: BSI-IGZ-0479-2021​) bestätigt, dass das Informationssicherheitsmanagementsystem von Myra die Vertraulichkeit, Verfügbarkeit und Integrität sämtlicher Informationen durch geeignete technische und organisatorische Maßnahmen sicherstellt. Damit ist Myra eines von nur rund 120 Unternehmen weltweit (Stand: Februar 2021), welche die strengen Anforderungen der ISO 27001 auf Basis von IT-Grundschutz erfüllen.

                      Mehr Informationen zu den Zertifizierungen von Myra Security finden Sie hier

                      IT-Sicherheitslösungen von Myra

                      Icon DDoS Schutz

                      DDoS Protection

                      Mit der Myra DDoS Protection erhalten Sie einen vollautomatischen Schutz vor schädlichen Requests und Überlastungsangriffen. Auch im akuten Angriffsfall sind Ihre Webapplikationen somit durchgehend erreichbar.

                      Mehr erfahren

                      Hyperscale WAF

                      Die Myra Hyperscale WAF schützt Ihre Webapplikationen vor schädlichen Zugriffen und Schwachstellen-Exploits. Durch eine einfache Integration und Konfigurierung ist sie im Handumdrehen eingerichtet.

                      Mehr erfahren

                      CDN 

                      Erstklassige Nutzererfahrung durch schnellen Seitenaufbau und minimale Latenz: Mit dem Myra High Performance CDN werden alle statischen und dynamischen Inhalte Ihrer Website hochperformant ausgeliefert.

                      Mehr erfahren
                      Icon Secure DNS

                      Secure DNS 

                      Myra Secure DNS bietet Ihnen eine zuverlässige und leistungsstarke Lösung zur Absicherung Ihrer kritischen Webapplikationen. Verwalten Sie Ihre Namensauflösung problemlos und schützen Sie sich vor DNS-Hijacking.

                      Mehr erfahren

                      Deep Bot Management

                      Verabschieden Sie sich für immer von schädlichen Bots. Das Myra Deep Bot Management erstellt für jeden Bot eindeutige Fingerprints und ermöglicht somit eine optimale Reaktion auf jede Anfrage.

                      Mehr erfahren
                      Icon Certificate Management

                      Certificate Management 

                      Nie wieder Probleme durch abgelaufene SSL/TLS-Zertifikate. Erhöhen Sie die Sicherheit Ihrer digitalen Assets mit dem Myra Certificate Management und verschlüsseln Sie alle Ihre Domains automatisch.

                      Mehr erfahren

                      © Myra Security GmbH 2024, alle Rechte vorbehalten

                      Responsible DisclosureImpressumDatenschutzPrivatsphäre-EinstellungenAGB