procilon banner themen

ISMS - Einführung eines Informationssicherheitsmanagementsystem

Durch ein Informationssicherheitsmanagementsystem (ISMS) werden Regeln für die Einordnung von und den Umgang mit schützenswerten Daten aufgestellt und umgesetzt. Das ISMS ist ein wichtiger Bestandteil des Managementsystems und zieht sich durch alle wichtigen Bereiche des Unternehmens. Zum ISMS gehören Verfahren zur regelmäßigen Überprüfung und Dokumentation organisatorischer und technischer Änderungen.

Wir unterstützen Sie bei der Einführung Ihres ISMS

Mit einem Informationssicherheitsmanagement (ISMS) auf der Basis anerkannter Standards werden die grundlegenden Voraussetzungen für eine mögliche Zertifizierung nach DIN ISO/IEC 27001, DIN ISO/IEC 2700x oder BSI-Grundschutz geschaffen.

Sie erreichen:

  •   Erfüllung gesetzlicher Richtlinien, z.B. IT-Sicherheitsgesetz
  •   Umsetzung vertraglicher Vorgaben
  •   Unterstützung von Governance und Compliance
  •   Wettbewerbsvorteile - mehr Vertrauen bei Kunden und Geschäftspartnern
  •   Verbesserungspotentiale für interne Abläufe und Prozesse
  •   effizienteren Einsatz von Ressourcen

Das ISMS Vorgehensmodell

Ein wichtiger Schwerpunkt des ISMS ist die Berücksichtigung der Anforderungen der Informationssicherheit bei geplanten Veränderungen und Wartungen wichtiger Elemente der IT-Infrastruktur. Ein weiterer Aspekt ist die regelmäßige Schulung und Belehrung der Mitarbeiter. Außerdem wird im Informationssicherheitsmanagementsystem (ISMS) festgelegt, wie die Notfallvorsorge erfolgt und wie auf eventuelle Sicherheitsvorfälle reagiert werden soll. Ziel des ISMS ist die permanente Einhaltung und Gewährleistung eines effizienten und hohen Sicherheitsniveaus.


Die wichtigsten Einflüsse bei der ständigen Verbesserung Ihres ISMS:

  •   gesetzliche oder regulative Randbedingungen
  •   vertragliche Verpflichtungen
  •   Geschäfts - und Sicherheitsanforderungen
  •   Geschäftsprozesse
  •   Maßnahmen, die sich nicht bewährt haben
  •   Neue Risikoklassen
  •   Neue Kriterien zur Akzeptanz von Risiken
  •   Neue Maßnahmen zur Vermeidung von Vorfällen


ISIS12 - Informationssicherheitsmanagement in 12 Schritten

ISIS12 ist ein 12-stufiger Workflow zur Einführung eines Informationssicherheitsmanagementsystems (ISMS) speziell für mittelständische Unternehmen. Der ISIS12 Katalog wurde aus den BSI-Grundschutzkatalogen und den Standards ISO/IEC 27001 und 27002 abgeleitet.

ISIS12 umfasst die folgenden Schritte:

  • 1. Leitlinie erstellen

    Durch Unternehmensleitung als zentrales Strategiepapier unterzeichnet, werden die Informationssicherheitsziele beschrieben und den Mitarbeitern vermittelt.

  • 2. Mitarbeiter sensibilisieren

    Die Mitarbeiter werden über die Einführung des ISMS informiert, auf die Bedeutung hingewiesen und zur Unterstützung motiviert. Über die Veränderungen und daraus resultierenden Verhalten werden sie regelmäßig informiert und belehrt.

  • 3. Informationssicherheitsteam aufbauen

    Die zentrale Rolle nimmt dabei der Informationssicherheitsbeauftragte (ISB) ein. Er ist für die Einführung, den Betrieb, die Weiterentwicklung des ISMS und die Berichterstattung gegenüber dem Management verantwortlich. Unterstützt wird er dabei vom Datenschutzbeauftragter, QM-Beauftragter, IT-Leiter, Anwender-Vertreter u.a.

  • 4. IT-Dokumentationsstruktur

    Vorhandene Dokumente werden aus Sicht der Informationssicherheit ergänzt und fehlende Dokumente werden erarbeitet. Eine Lenkung der Dokumenten und Aufzeichnungen wird aus dem QM-System übernommen oder etabliert.

  • 5. IT-Service Management Prozesse

    Auf der Basis einer „Configuration Management Data Base“ (CMDB) werden drei generische IT-Service-Managementprozesse verbindlich eingeführt oder aus der Sicht der Informationssicherheit überprüft:Wartung, Änderung und Störungsbeseitigung.

  • 6. Kritische Applikationen identifizieren

    Die unternehmenskritische Anwendungen werden lokalisiert und bezogen auf die Schutzziele „Vertraulichkeit, Integrität und Verfügbarkeit“ bewertet.

  • 7. IT-Struktur analysieren

    Nach der Bewertung der unternehmenskritischen Anwendungen werden die erforderlichen technischen, personellen, organisatorischen und infrastrukturellen Objekte ermittelt und zugeordnet.

  • 8. Sicherheitsmaßnahmen modellieren

    Den ermittelten Objekten werden die empfohlenen Sicherheitsmaßnahmen zugeordnet, die aus dem BSI-Grundschutzkatalog und dem Standard ISO/IEC 27001 (Maßnahmenziele A.5– A.15) bzw. den Konkretisierungen in ISO/IEC 27002 abgeleitet wurden.

  • 9. Ist-Soll Vergleich

    Im Ist-Soll-Vergleich wird der Umsetzungsgrad, der empfohlenen Maßnahmen untersucht. Nicht vollständig umgesetzten erforderlichen Sicherheitsmaßnahmen werden identifiziert und umgesetzte bereits in die periodische Überprüfung übernommen.

  • 10. Umsetzung planen

    Die noch umzusetzenden Sicherheitsmaßnahmen mit den möglichen Auswirkungen und Kostenplanung werden der Geschäftsleitung als Entscheidungsvorschlag präsentiert. Auf der Grundlage der Entscheidungen wird ein Umsetzungsplan erstellt.

  • 11. Umsetzung

    Die genehmigten Sicherheitsmaßnahmen werden umgesetzt. Dafür werden Verantwortlichkeiten, Termine und erwartete Ergebnisse festgelegt. Die betroffenen Mitarbeiter werden rechtzeitig informiert und bei Notwendigkeit geschult und belehrt.

  • 12. Revision

    Im Ergebnis der Einführung des ISMS wird die Wirksamkeit und der Prozess der ständigen Überwachung und Anpassung des Systems geprüft.

Software und Zertifizierung
Die Einführung der Software zu ISIS12 erfolgt nur durch spezialisierte Dienstleister. Eine Zertifizierung nach ISIS12 erfolgt nur durch anerkannte Auditoren und wird in der Regel nach einem zweitägigen Audit durch zertifizierte und speziell geschulte ISIS12-Auditoren erteilt. Das Zertifikat hat eine Gültigkeit von drei Jahren. In diesen drei Jahren finden zwei eintägige Überwachungsaudits statt. Im dritten Jahr kann durch ein Rezertifizierungsaudit das Zertifikat erneuert werden.

Zukünftige höhere Zertifizierungen
Das nach ISIS12 eingeführte ISMS enthält bereits einen großen Teil der Forderungen höherer Zertifizierungen, da sich der Katalog an BSI-Grundschutz und ISO27001 orientiert. Je nach höherer Zertifizierung müssen weitere Betrachtungen durchgeführt und Dokumente erarbeitet werden.

logo bayerisches it sicherheitscluster Dank unserer Mitgliedschaft im Bayerischen IT-Sicherheitscluster e.V., profitieren Sie von der Expertise unserer nach ISIS12-zertifizierten procilon Berater.

Sie haben Fragen?

Wir sind für Sie da

Tel.: +49 34298 4878 31
Fax: +49 34298 4878 11
E-Mail | Rückrufwunsch

Sie benötigen technischen Support? Hier entlang

Nächster Schritt

Anfrage senden

kostenlos & unverbindlich

Webinar

procilon ONLINE Praxis-Seminare

Erfahren Sie mehr zu diesem und weiteren Themen in einem exklusiven & kostenfreien 1:1 Webinar. Gleich anmelden

Download

Downloads Themenblatt IT-Sicherheit

Themenblatt
IT-Sicherheit

  Hier downloaden

Download

procilon Handlungsleitfaden
"Der Weg zur Informationssicherheit"

  Gleich anfordern

TeleTrust Handreichung
"Stand der Technik"

  Gleich anfordern

Referenz

Downloads Referenzblatt FDH GmbH

FDH GmbH
Erstellung einer BSI-Sicherheitsrichtlinie

  Hier downloaden

Unsere Expertise

isis12 Logo

procilon ist zertifizierter Berater für ISIS12 - ein Verfahren zur Einführung eines Informationssicherheits-managementsystems (ISMS) in 12 Schritten.

Diese Website nutzt Cookies, um bestmögliche Funktionalität bieten zu können.