ISMS nach ISO 27001 und ISO 27005

Hier erhalten Sie umfangreiche Informationen und eine Einführung in die Themen ISMS, IT Sicherheit, die Normen ISO 27001 und ISO 27005. Diese Themen sind im Zeitalter von digitalen Medien, Internet und wachsender Datenmengen- und Beständen von steigender Brisanz. Viele Unternehmen investieren Millionen von € in die Informationssicherheit ihrer IT Infrastruktur. Neuste Ansätze wie die ISO IEC 27001 Norm oder ISMS definieren nun Managementgrundsätze für die Informationssicherheit. Diese Normen und Methoden werden Ihnen im folgenden präsentiert.

GRATIS VORLAGE: Mit dieser gratis Vorlage Verfahrensanweisung Risikomanagement ISO 27001  bauen Sie ein dokumentiertes ISMS- Managementsystem auf.

Was ist ISMS oder Informationssicherheit?

Begriffe wie Informationssicherheit, Datenschutz, Datensicherheit, ISMS oder IT Sicherheit begegnen jedem von uns immer häufiger. Doch was hat es damit auf sich?

Der Großteil heutiger Hauptgeschäftsprozesse beruht auf der Erfassung, Verarbeitung und Speicherung von Informationen. Ohne korrekten Fluss der Informationen gerät jeder Geschäftsprozess ins Stocken. Deshalb muss der Schutz wichtiger Informationen einer Organisation das oberste Ziel der Managementebene sein.

Dabei beschränkt sich Informationssicherheit nicht nur auf elektronisch verarbeitete Daten: Diese sind zwar ein wichtiger Teil aller zu betrachtenden Informationen, die Bandbreite ist jedoch wesentlich größer. Neben den elektronischen Daten gibt es auch Informationen auf Papier, handschriftliche Notizen, Verträge, mündlich weitergegebene Informationen oder Briefpost. Spätestens jetzt ist ersichtlich, dass ein geeigneter Datenschutz dieser auf vielfältigen Kommunikationswegen übertragenden Informationen nicht Aufgabe eines IT-Verantwortlichen sein kann und darf, sondern Aufgabe der obersten Managementebene sein muss.

In der deutschen Literatur werden die Begriffe Informationstechnik, Informations- und Kommunikationstechnik oder Informations- und Telekommunikationstechnik häufig synonym benutzt. Aufgrund der Länge dieser Begriffe haben sich entsprechende Abkürzungen eingebürgert, so dass meist von IT Sicherheit gesprochen wird. Da die elektronische Verarbeitung von Informationen in nahezu allen Lebensbereichen gegenwärtig ist, ist die Unterscheidung, ob Informationen mit Informationstechnik, mit Kommunikationstechnik oder auf Papier verarbeitet werden, nicht mehr zeitgemäß. Der Begriff Informationssicherheit statt IT Sicherheit ist jedoch eigentlich umfassender und wird somit im Folgenden genutzt.

Warum ist Informationssicherheit und Datenschutz notwendig?

Informationssicherheit hat als Ziel den Datenschutz von Informationen. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Informationssicherheit beschäftigt sich vordringlich mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung (Datenschutz, Datensicherheit). Hierbei sind die klassischen Grundwerte der Informationssicherheit, Vertraulichkeit, Integrität und Verfügbarkeit, die Grundlagen für ihren Schutz:

  • Vertraulichkeit: Gewährleistung des Zugangs zu Informationen nur für die Zugangsberechtigten
  • Integrität: Sicherstellung der Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden
  • Verfügbarkeit: Gewährleistung des bedarfsorientierten Zugangs zu Informationen und zugehörigen Werten für berechtigte Benutzer

Informationen und die zugehörigen Prozesse, Systeme und Netzwerke sind wichtige Unternehmenswerte, sogenannte Assets. Informationssicherheit und Datenschutz ist daher für ein erfolgreiches Unternehmen, für dessen Profitabilität, Konkurrenzfähigkeit und die Einhaltung gesetzlicher Forderungen unbedingt erforderlich!

Die Sicherheit von Informationen wird nicht nur durch vorsätzliche Handlungen bedroht (z. B. Computer-Viren, Abhören der Kommunikation, Diebstahl von Rechnern), wie die folgenden Beispiele zeigen:

• Durch höhere Gewalt (z. B. Feuer, Wasser, Sturm, Erdbeben) werden IT-Systeme in Mitleidenschaft gezogen oder der Zugang zum Rechenzentrum ist versperrt.
IT-Systeme oder Dienste stehen damit nicht mehr wie gewünscht zur Verfügung.
• Nach einem missglückten Software-Update funktionieren Anwendungen nicht mehr oder Daten wurden unbemerkt verändert.
• Ein wichtiger Geschäftsprozess verzögert sich, weil die einzigen Mitarbeiter, die mit der Anwendungssoftware vertraut sind, erkrankt sind.
• Vertrauliche Informationen werden versehentlich von einem Mitarbeiter an Unbefugte weitergegeben, weil Dokumente oder Dateien nicht als “vertraulich”
gekennzeichnet waren.

Der Informationssicherheit kommt daher sowohl in privaten als auch in öffentlichen Bereichen eine immer größere Rolle zu. IT Sicherheit dient dazu, die bestehenden IT Risiken zu reduzieren oder gar zu eliminieren. Viele Informationsverarbeitende Systeme sind bezüglich Informationssicherheit und Datenschutz grundsätzlich unsicher. Sie lassen sich oft auch durch technische Maßnahmen der Informationssicherheit nicht ausreichend schützen. Hier helfen entsprechende Managementprozesse zur Verbesserung von Informationssicherheit und Datenschutz, am besten verankert in einem Informationssicherheits- Managementsystem (ISMS) auf Basis der ISMS Normen ISO 27001 bzw. ISO 27002.

AUSBILDUNG: Mit der Ausbildung Basiswissen Informationssicherheitsmanagement ISO 27001 lernen Sie die ISO 27001 von Grund auf kennen und anzuwenden.

Zum Seitenanfang

Informationssicherheitsmanagementsystem ( ISMS ) nach ISO 27001

Ein Informationssicherheitsmanagementsystem ( ISMS ) nach ISO 27001 unterstützt die umfassende, unternehmensweite Informationssicherheit und Datensicherheit. Auf den folgenden Seiten erfahren Sie deshalb mehr über Planung, Realisierung und Aufrechterhaltung eines ISMS nach ISO 27001 auf Basis des PDCA- Zyklus.

Wir zeigen Ihnen auch die Grundlagen der eng mit einem ISMS nach ISO 27001 verknüpften ISMS Risikoanalyse und beleuchten die Rollen als ISMS Beauftragter und ISMS Auditor sowie die ISO 27001 Zertifizierung für ein Informationssicherheitsmanagementsystem ( ISMS ) nach ISO 27001.