Informationssicherheitsmanagement (ISMS) - ein Leitfaden

ISMS ist die Abkürzung für Informationssicherheitsmanagementsystem. Über das ISMS definiert ein Unternehmen alle Richtlinien, Prozesse und Verfahren, die dazu dienen, die Sicherheit, Verfügbarkeit und Integrität der Informationen zu steuern, zu kontrollieren und sicherzustellen. Im Rahmen der ISO 27001-Zertifizierung wird das ISMS auf seine Wirksamkeit hin in der Praxis überprüft.

Eine Zertifizierung nach ISO 27001 bestätigt die erfolgreiche Implementierung eines ISMS nach DIN EN ISO/IEC 27001:2017. Die Norm ist ein international anerkannter und führender Standard für Informationssicherheit. Der Schwerpunkt der ISO 27001 liegt auf den für IT-Infrastrukturen und Verfahrensweisen typischen Risiken und deren Minimierung durch einen prozessorientierten Ansatz. Ziel ist ein angemessener Schutz aller Informationen im Unternehmen zu gewährleisten, diesen kontinuierlichen zu überwachen und aufrechtzuerhalten. Dabei bietet ein ISMS auch ideale Voraussetzungen, um gesetzliche Anforderungen an den Datenschutz zu erfüllen.

Der IT-Grundschutz-Katalog ist ein vom Bundesamt für Sicherheit in der Informationstechnik entwickeltes Konzept zur Umsetzung eines ISMS. Das Konzept gibt in Bausteinen konkrete Hilfestellungen zur Gestaltung und Realisierung der Sicherheitsmaßnahmen auf technischer Ebene. Die sehr allgemein gehaltenen Anforderungen der ISO 27001 können praktisch durch die im Grundschutz-Katalogen enthaltenen Konzepte umgesetzt werden. Sowohl ISO 27001 als auch IT-Grundschutz legen bei ihren Umsetzung der Maßnahmen den Fokus auf Integrität, Vertraulichkeit und Verfügbarkeit von Informationen.