Daten- und Informationssicherheit nach ISO 27001 ISMS Information Security Management System
David Wustmann
Sind Ihre sensiblen Daten, Informationen & Prozesse geschützt?
Information Security Management Systeme und deren Zertifizierung nach ISO/IEC 27001:2013 gewinnen rasant an Bedeutung – auch weil die Kundenseite immer häufiger nach solch einem international anerkannten Beleg für Informations- und Datensicherheit einfordert.
Ein Information Security Management System (ISMS) schützt sensible Informationen, Daten, Prozesse, IT-Systeme und -Ressourcen ganzheitlich mittels dokumentierter Methoden, Vorgaben und Regeln. Diese müssen – passend zum Unternehmen – fortlaufend überprüft und ggf. weiterentwickelt werden. Eine ISMS-Zertifizierung nach ISO/IEC 27001:2013 weist zudem den internationalen Standard des geschaffenen Schutzniveaus nach (bspw. gegenüber Kunden, Anwendern, Versicherungen etc.).
Warum ISO/IEC 27001:2013 zertifiziertes ISMS?
- Schutz vor Wirtschaftskriminalität und zufälligen Attacken
- Senkung von (IT-)Risiken und resultierenden Schäden/Kosten
- Stabilisierte, transparent gestaltete IT- & Geschäftsprozesse
- Verbesserung der Systemverfügbarkeit
- Praktikables, wirtschaftliches System, da Maßnahmen immer im Kontext zu tatsächlichen Risiken stehen
- Internationaler ISO/IEC 27001 Standard = anerkannter Nachweis gegenüber Dritten (Kunden, Anwender, Versicherungen, Behörden etc.)
ISMS in 5 Schritten
Grundvoraussetzung für ein funktionierendes System ist die 100%ige Akzeptanz seitens des Managements/der Unternehmensführung und die Sensibilisierung (Bewusstsein) aller Beteiligten
1. Basis – Geltungsbereich (Scope)
Was soll das ISMS leisten/Welche Unternehmenswerte sollen geschützt werden? An welcher Stelle wird das ISMS abgegrenzt und welche Schnittstellen gibt es? Welche Prozesse werden ausgeschlossen und warum?
Festlegung zu schützender Werte/Bereiche und der entsprechenden Komplexität des ISMS
2. Risiken
Welche Risiken/Bedrohungen gibt es für den Geltungsbereich? Wie sind Risiken zu bewerten (senken, auslagern, vermeiden) und welche Risiken sind warum noch vertretbar?
Unternehmensspezifische Risikoidentifizierung, -bewertung/-einordnung nach Tragweite und Zuweisung der Verantwortlichkeiten
3. Maßnahmen und Dokumentation
Welche Maßnahmen sind notwendig, um relevante Risiken zu verringern bzw. eliminieren? Was ist das genaue Ziel einer jeden Maßnahme? Wie werden die Maßnahmen umgesetzt (Überprüfung der Umsetzung durch Audits). Welche Verantwortlichkeiten gibt es?
Maßnahmenfestlegung, -umsetzung und -überwachung zur Risikoeindämmung/-vermeidung
4. Überprüfung und Weiterentwicklung
Wie wird die Wirksamkeit der Maßnahmen fortlaufend überprüft? Welche Prozesse und Überwachungsmaßnahmen sind dafür notwendig? Gibt es neue Bedrohungen bzw. Risiken und wie wird darauf reagiert?
Fortlaufende Hinterfragung und Anpassung der Maßnahmen (kontinuierlicher Verbesserungsprozess)
5. Bewusstsein - Das System leben
Was muss getan werden, damit alle Beteiligten das ISMS akzeptieren und dessen Regeln/Maßnahmen korrekt anwenden bzw. einhalten? Welche Schulungen sind dafür wie oft notwendig?
ISMS als fester Bestandteil der Unternehmensphilosophie inkl. regelmäßiger Mitarbeitersensibilisierung & -schulung.
Organisatorische Maßnahmen
Zutrittskontrolle
Geheimhaltung
Standardprozesse
Clean desk
Messpunkte
Dokumentation
Kontinuierlicher Verbesserungsprozess
ISMS schlank umgesetzt
Profitieren Sie von den LOGSOL Erfahrungen aus dem eigenen ISO/IEC 27001:2013 Zertifizierungsprozess.
Unsere Experten für Informationssicherheit unterstützen Sie auch bei Ihrem ISMS-Vorhaben und dessen schlanker Umsetzung.
Mehr darüberISMS - ISO 27001 Workshop
Sprechen Sie mit unserem Experten über Ihr ISMS-Vorhaben:
David Wustmann
+49 351 314423-50