Risikominimierung und Compliance mit ISMS

Etablierung eines ISMS im Unternehmen

Ein prototypisches Vorgehen zur Etablierung eines standardkonformen und damit zertifizierbaren Informationssicherheits-Management-Systems baut im Wesentlichen auf fünf Grundsäulen auf:

Initialisierung: Im ersten Schritt bekennt sich ein Unternehmen generell zur Informationssicherheit und macht diese zur Managementaufgabe, um das gesamte Unternehmen für die neue Herausforderung zu sensibilisieren.

Anwendbarkeit: Im zweiten Schritt legt das Unternehmen fest, was das Informationssicherheits-Management-System leisten soll. Hier wird definiert, welche Informationen durch dieses System geschützt werden sollen. Zu berücksichtigen sind die geschäftliche Ausrichtung, die Organisation, der Standort, die Werte und die eingesetzte Technologie. Auch gesetzliche, unternehmensinterne und vertragliche Anforderungen finden in dieser Stufe Beachtung. Wichtig sind hierbei auch die Schnittstellen zu anderen, externen Unternehmen, die beispielsweise auf ein System zugreifen, das in den Anwendungsbereich des Informationssicherheits-Management-Systems fällt.  

Risiken: Im dritten Schritt gilt es sämtliche Risiken innerhalb des Informationssicherheits-Management-Systems-Anwendungsbereichs zu identifizieren. Die Methode zur Risikoeinschätzung muss für das Management-System geeignet sein und den festgelegten Anforderungen an die Informationssicherheit sowie den gesetzlichen Ansprüchen genügen. Zudem wird die Risikoakzeptanz entwickelt. Hat man Risiken und Risikoakzeptanz definiert, wird genau festgelegt, welche Auswirkungen der Verlust von Vertraulichkeit, Integrität und Verfügbarkeit maximal haben darf. Anhand der identifizierten Bedrohungen und Schwachstellen sowie der vorhandenen Schutzmaßnahmen lässt sich abschätzen, mit welcher Wahrscheinlichkeit Sicherheitsvorfälle realistischer Weise eintreten. So ist für jedes Risiko ein bestimmtes Niveau ermittelbar.

Maßnahmen: Im vierten Schritt werden Maßnahmen gewählt, mit denen sich nicht akzeptable Risiken vermeiden oder im Niveau senken lassen. Das können interne Maßnahmen sein, aber auch Vereinbarungen mit externen Partnern hinsichtlich der Übernahme bestimmter Risiken. Die konkrete Umsetzung wird von der zertifizierenden Stelle im Rahmen von Audits kontrolliert.

Kontinuierliche Kontrolle: Bei einer ISO Zertifizierung des Informationssicherheits-Management-Systems handelt es sich mittel- und langfristig um einen kontinuierlichen Prozess nach dem Plan-Do-Check-Act-Verfahren. Die Wirksamkeit des Informationssicherheits-Management-Systems wird nach Abschluss der initialen Installation mit Hilfe geeigneter Überwachungsmaßnahmen regelmäßig überprüft. Änderungen, die Auswirkungen auf den Anwendungsbereich haben könnten, werden ebenso berücksichtigt wie Verbesserungspotenziale, Mängel in der Umsetzung oder veränderte beziehungsweise neue Risiken.

Gregor Rex-Lawatscheck ist Geschäftsführer von Mpex

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Risikominimierung und Compliance mit ISMS
2. Das Managementsystem für Informationssicherheit (ISMS)
3. Etablierung eines ISMS im Unternehmen

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Privatsphäre? Fehlanzeige!

Gericht in NRW erlaubt versteckte Kamera in WG-Zimmer

Hybride Arbeitswelt

Meetingraum-Systeme as a Service

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Weitere Artikel zu Server, Datacenter

Direktanschluss an Atomkraftwerk

Amazon plant 20-Milliarden-Investition in Rechenzentren

Fokus auf Colocation-Services

Christian Zipp ist neuer CEO bei Nexspace

Schnell, skalierbar und nachhaltig

Siemens, Cadolto und Legrand zeigen modulares Edge-Rechenzentrum

Energieinfrastruktur für Rechenzentren

Siemens Energy und Eaton planen modulare Komplettlösungen

Schwarz Digits rüstet seine Cloud auf

StackIT soll der erste deutsche Hyperscaler werden