ISMS

Wann brauche ich ein ISMS?

Mit einem Informationssicherheitsmanagementsystem (ISMS) lassen sich Schäden vom Unternehmen abwenden. Doch wann braucht man ein ISMS? Und wie passen Informationssicherheit, Datenschutz, Datensicherheit und IT-Sicherheit rein?

Informationssicherheit: Schutz aller Informationen – on- und offline 

Informationssicherheit umfasst den Schutz aller Informationen in einem Unternehmen. Und das analog und digital. Durch die Informationssicherheit werden also beispielsweise ein gedrucktes Gebrauchsmusterzertifikat genauso geschützt wie eine CAD-Zeichnung auf dem Rechner eines Mitarbeiters. Aber auch die Informationen, die ein Mitarbeiter in seinem Kopf hat, werden geschützt.  

Datenschutz: personenbezogene Daten im Visier 

Beim Datenschutz geht es um personenbezogene Daten. Also beispielsweise Kontaktdaten zu einem Lieferanten, Personalnummern oder auch E-Mailadressen von Kunden. Der Schutz dieser Daten ist spätestens seit Einführung der Datenschutz-Grundverordnung in den Fokus gerückt.  

Datensicherheit umfasst alle unternehmensrelevanten Daten 

Die Datensicherheit umfasst weit mehr als „nur“ die personenbezogenen Daten. Hier geht es um alle Daten, die für ein Unternehmen relevant sind. Also beispielsweise auch ein Konstruktionsplan für eine Maschine, der ausgedruckt im Archiv liegt oder digital auf dem Rechner eines Mitarbeiters. 

IT-Sicherheit: elektronisch gespeicherte Informationen und IT-Systeme 

Und dann gibt es noch die IT-Sicherheit. Diese beinhaltet den Schutz von elektronisch gespeicherten Informationen und IT-Systemen. Sie umfasst auch, dass diese Systeme reibungslos laufen. 

Es lauern viele Gefahren 

Die Gefahren, die lauern, sind vielfältig. Ein Feuer oder Wasserschaden kann wichtige Dokumente oder Datenträger zerstören. Ein Langfinger kann den Laptop vom Schreibtisch eines Mitarbeiters klauen oder ein Besucher bekommt beim Blick auf den Drucker Informationen, die ihn eigentlich nichts angehen. Auch ein Virus oder Hacker-Angriff kann enormen Schaden anrichten, der vielleicht nicht mehr zu reparieren ist. Neben den finanziellen Einbußen sind es vor allem auch Image-Schäden, die ein Unternehmen treffen können.  

ISMS: Schutz durch klar definierte Prozesse 

Wer ein Informationssicherheitsmanagementsystem (ISMS) installiert hat, ist zwar nicht vor solchen Gefahren gefeilt. Es wird aber die Wahrscheinlichkeit minimiert, dass es zu einem Schadenfall kommt und im Schadenfall gibt es klar definierte Prozesse, wie alles schnell wieder ans Laufen kommt.  

Genau solche Prozesse, Vorgehensweisen und Maßnahmen werden in einem ISMS festgeschrieben und definiert. So werden die Risiken für eine Datenleck oder IT-Ausfälle minimiert. Das spart Kosten, weil beispielsweise ineffiziente Prozesse aufgedeckt werden und im Schadenfalls geringere Aufwände anfallen. Auch kann ein ISMS Türen zu neuen Kunden öffnen, die vielleicht verschlossen waren. Denn viele legen bei ihren Dienstleistern Wert auf Qualitäts- sowie Sicherheitsstandards. 

Die wichtigsten Schritte des ISMS sind: 

  1. Erhebung des Status Quo: Wo steht das Unternehmen in Sachen Informationssicherheit? 
  2. Definition der Prozesse, Verantwortungen und Regelungen
  3. Entwurf von Verbesserungsmaßnahmen
  4. Benennen eines Informationssicherheitsbeauftragten (ISB), der alle Schritte des ISMS immer im Blick hat
  5. Aufbau des Management-Systems und langfristige Umsetzung der Maßnahmen

ISIS12: das richtige ISMS für KMU 

Wenn kleine und mittlere Unternehmen oder Kommunen ein ISMS einführen möchten, hat sich ISIS12 des IT-Sicherheitsclusters als Standard etabliert. Der große Vorteil: Es fasst einen etwa 300 Seiten starken Maßnahmenkatalog zum ISMS in 12 kompakten und praxisnah umsetzbaren Schritten zusammen. Die Schritte umfassen im Einzelnen: 

  1. Leitlinie erstellen
  2. Mitarbeiter sensibilisieren
  3. Informationssicherheitsteam aufbauen
  4. IT-Dokumentationsstruktur festlegen
  5. IT-Servicemanagement-Prozess einführen
  6. Kritische Applikationen identifizieren
  7. IT-Struktur analysieren
  8. Modellierung
  9. Soll-Ist Vergleich
  10. Umsetzung planen + Umsetzung
  11. Internes Audit
  12. Revision 

Wer ein ISMS einführen möchte, muss etwa ein Jahr von „Leitlinie erstellen“ bis zur „Revision“ rechnen. Also ein Schritt pro Monat. Nach der erfolgreichen Einführung durch einen ISIS12-Dienstleister besteht die Möglichkeit zur Zertifizierung durch die Deutschen Gesellschaft zur Zertifizierung von Managementsystemen (DQS). Wichtig für die Außenwirkung bei Kunden und Geschäftspartnern. 

Anmeldung zum Newsletter