ISMS-Einführung

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Zielgruppe (für wen ist der ISMS-Ratgeber?)

Du bist in einem kleinen oder mittleren Unternehmen, einer Behörde oder Organisation verantwortlich für die IT-Sicherheit?

Herzlich Willkommen, für dich ist diese Seite gemacht!

IT-Sicherheit oder besser Informationssicherheit richtet sich nicht nur an Konzerne oder große Organisationen, die sich eine Heerschar von Sicherheits-Beauftragten, -Managern und Beratern leisten können. Grade für kleinere und mittlere Organisationen ist eine sicher funktionierende IT existenziell wichtig und sollte das Thema Informationssicherheit angemessen behandelt werden.

Diese Seite gibt dir eine kurze Einführung in das Thema.

Du bist in einer großen Organisation, in einem großen Konzern oder einer großen Behörde verantwortlich für Informationssicherheit in deinem Bereich und dir fehlt es permanent an Zeit und Ressourcen dich in das Thema richtig einzuarbeiten?

Mein Beileid, aber auch damit bist du nicht allein! Auch für dich ist dieses WiKi gemacht. Warum soll jeder das Rad neu erfinden?

Jeder hat seine Stärken und jeder hat seine Schwächen. Der Ansatz mag blauäugig sein, aber warum soll es nicht funktionieren die Stärken aus unterschiedlichen Organisationen zusammen zu legen. Letztlich hat jede Organisation die gleichen Probleme und auch die Lösungen gleichen sich oft sehr. Also wenn ihr eine Gute Lösung habt, warum sie nicht mit anderen teilen und von den Stärken anderer profitieren, wo man selbst noch keine Lösung gefunden hat?

Vielleicht kann es sogar funktionieren, wenn jeder bereit ist etwas beizutragen.

Was ist ein ISMS?

ISMS steht für "Informations-Sicherheits-Management-System" und beinhaltet einen ganzheitlichen Ansatz zur Verwaltung der Informationssicherheit in einer Organisation. Ein ISMS umfasst eine Reihe von Prozessen, Richtlinien, Verfahren und Technologien, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten und Risiken zu minimieren.

Eins sollte dir klar sein, ein ISMS ist nichts, was man mal eben in ein paar Tagen aufbaut! Die Einführung eines ISMS braucht Zeit, Ausdauer und Ressourcen, viel Zeit, viel Ausdauer und viel Ressourcen! Es wird viele Hindernisse und Widerstände geben und es braucht viel Überzeugungsarbeit bei deiner Organisationsleitung, bei den IT-Administratoren und bei den Mitarbeitern.

Die Einführung eines funktionierenden ISMS dauert je nach Komplexität der Organisation üblicherweise mindestens 1-2 Jahre (eher 2 als 1) in größeren Organisationen kann es auch 3-5 Jahre dauern (einige schaffen es auch nie). Genau genommen dauert es, so lange es die Organisation gibt, denn wenn ihr es richtig macht, werdet ihr nie fertig. Es ist ein andauernder Prozess der sich immer wieder selbst infrage stellt und neu erfindet. Das nennt man kontinuierlicher Verbesserungsprozess (KVP). getreu dem Motto:

"Informationssicherheit ist kein Projekt, Informationssicherheit ist ein immerwährender Prozess"

Gemeint ist: ein Projekt ist irgendwann angeschlossen und hat ein Ergebnis, es ist "fertig". Informationssicherheit ist nie fertig, Bedrohungen ändern sich, Angreifer entwickeln sich weiter und lernen dazu, darauf muss fortlaufend reagiert werden, die eigenen Prozesse müssen laufend den veränderten Umständen angepasst werden.

Wo und wie fange ich an?

Wenn deine Organisation noch kein ISMS hat oder du dir nicht sicher bist, wo die Organisation in der Entwicklung der Informationssicherheit steht kann dir der QuickCheck einen ersten Überblick geben. Der QuickCheck ist kein Test der dir im Sinne eines Testats ein verwertbares Ergebnis liefert. Der QuickCheck ist ein Katalog aus Fragen zu unterschiedlichen Themengebieten, der dir allein durch das Beantworten der Fragen einen schnellen und sehr groben Überblick geben soll, wo deine Baustellen liegen.

Aufbau eines ISMS

Der Aufbau eines funktionierenden ISMS dauert i.d.R. mehrere Jahre. Der gesamte Prozess lässt sich nicht in einem Kapitel beschreiben.

Grob beschrieben läuft der Aufbau eines ISMS nach dem Prinzip des PDCA Modell in den folgenden Schritten ab:

  1. Bestandsaufnahme: Identifiziere die wichtigsten Geschäftsprozesse, Informationen und Systeme in deiner Organisation und bewerten die Risiken, denen sie ausgesetzt sind.
    Abbildung des PDCA-Zyklus
    PDCA-Zyklus
  2. Planung: Lege Ziele und Strategien für das ISMS fest und entwickle ein umfassendes Konzept für die Umsetzung.
  3. Umsetzung: Implementiere das ISMS, indem du geeignete Prozesse und Verfahren einführst, die darauf abzielen, Risiken zu minimieren und die Informationssicherheit zu verbessern.
  4. Überwachung: Überwache kontinuierlich die Leistung des ISMS, um sicherzustellen, dass es seinen Zweck erfüllt und identifiziere Schwachstellen, um geeignete Korrekturmaßnahmen zu ergreifen.
  5. Verbesserung: Stelle sicher, dass das ISMS kontinuierlich verbessert wird, indem Sie die Ergebnisse von Überwachung und Korrekturmaßnahmen nutzen, um Änderungen und Anpassungen vorzunehmen.

Der erste Punkt erfordert die größte Aufmerksamkeit, da er die Basis für das ISMS bildet und i.d.R. nur einmal am Anfang oder bei wesentlichen Änderungen der Organisation durchgeführt wird. Die folgenden Punkte 2-5 bilden den eigentlichen Kernprozess des ISMS und werden nach dem PDCA-Zyklus in vielen Iterationen wiederholt.

Voraussetzung für die Einführung eines ISMS

Für die erfolgreiche eingeführt eines ISMS sollten folgenden Voraussetzungen erfüllt sein:

  • Unterstützung der Führung: Es ist wichtig, dass die Führung der Organisation die Notwendigkeit der Informationssicherheit erkennt und die Einführung eines ISMS unterstützt. Ohne Rückendeckung von ganz oben, geht garnichts.
  • Ressourcen: Eine erfolgreiche Einführung eines ISMS erfordert die Zuweisung von ausreichenden Ressourcen, einschließlich Zeit, Personal und Finanzen. Auch hier ist meist noch viel Überzeugungsarbeit zu leiste.
  • Mitarbeiterbeteiligung: Die Mitarbeiter müssen in den Einführungsprozess einbezogen werden, damit sie die Regeln und Prozesse verstehen und einhalten.
  • Prozessorientierung: Ein ISMS basiert auf einem Prozessansatz, daher ist es wichtig, dass die Organisation generell prozessorientiert arbeitet.
  • Klare Geschäftsprozesse: Es muss in der Organisation klar definierte Geschäftsprozesse geben und das Management und die Mitarbeiter müssen diese Geschäftsprozesse kennen, um die damit verbundenen Informationssicherheitsrisiken zu verstehen.
  • Kommunikation: Es ist wichtig, dass eine effektive und offene Kommunikation innerhalb der Organisation etabliert wird, um sicherzustellen, dass alle Mitarbeiter über das ISMS informiert sind und ihre Rolle verstehen.

Erforderliche Dokumentation

Ein ISMS erfordert eine Reihe von Dokumenten, um die Erfüllung der Anforderungen des Rahmenwerks nachzuweisen. Hier sind einige wichtige Dokumente, die für ein ISMS grundlegend erforderlich sind:

  • Sicherheitsleitlinie: Die Sicherheitsleitlinie beschreibt die Sicherheitsstrategie der Organisation und legen die grundlegenden Regeln und Verfahren für die Informationssicherheit in der Organisation fest.
  • Sicherheitsrichtlinien und Betriebskonzepte: Sicherheitsrichtlinien beschreiben grundsätzliche Vorgaben und Regelungen zu spezifischen Themen, Betriebskonzepte beschreiben detailliert, wie die Sicherheitsrichtlinien umgesetzt werden sollen.
  • Dokumentation der Sicherheitsmaßnahmen: Die Dokumentation der Sicherheitsmaßnahmen beschreibt die tatsächlich implementierten Maßnahmen, um die Informationssicherheit sicherzustellen.
  • Protokolle: Protokolle dokumentieren die Ergebnisse von Überwachungen und Überprüfungen, sowie die durchgeführten Maßnahmen, um die Informationssicherheit zu gewährleisten
  • Notfallpläne: Notfallpläne beschreiben die Schritte, die im Falle eines Notfalls unternommen werden sollen, um die Informationssicherheit auch in Ausnahmesituationen sicherzustellen und schnell in den Regelbetrieb zurück zu finden.
  • Schulungsunterlagen: Schulungsunterlagen, die die Mitarbeiter in Bezug auf die Informationssicherheit unterweisen.
  • Berichte: Berichte dokumentieren die Ergebnisse von Überwachungen, Überprüfungen und Audits und unterrichten die Organisationsleitung über den Stand der Informationssicherheit in der Organisation. Berichte und Protokolle sind auch die Basis für ggf. erforderliche Korrekturmaßnahmen.

Zahl Umfang und Benennung der Dokumente unterscheiden sich geringfügig, je nach verwendetem Standard (ISO 27001, BSI IT-Grundschutz, CISIS 12, ..) das grundsätzliche Vorgehen und die wesentlichen Inhalt sind aber weitgehend gleich.

Genaueres zu den üblichen Anforderungen der jeweiligen Standards an die Dokumentation findest du auf der Seite Referenzdokumente.

Organisation des Informationssicherheitsmanagement

Definition des Informationsverbunds (Scope)