Information Security Management System (ISMS)

Die Gewährleistung der Informationssicherheit dient dem Erhalt von Unternehmenswerten und sollte deshalb nicht dem Zufall überlassen werden. Gezielte Anstrengungen ermöglichen, erhalten und verbessern den Schutz von Informationen. Ein Information Security Management System, kurz ISMS, dient dabei der Steuerung aller Aktivitäten zum Schutz von Informationen. Basierend auf etablierten Standards, insbesondere ISO/IEC 27001, unterstützen unsere erfahrenen Berater Unternehmen aller Grössen und in den unterschiedlichsten Branchen bei der Etablierung, Bewertung und Verbesserung ihres ISMS.

Idee und Nutzen eines ISMS

Im Zentrum der Gewährleistung der Informationssicherheit stehen die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit von Information. Abgeleitete Schutzziele wie z. B. die Sicherstellung der Authentizität der Information sollten ergänzend betrachtet werden. Informationssicherheit bedeutet, dass Informationen jederzeit vor einer Verletzung der Schutzziele geschützt sind. Dazu müssen Massnahmen zur Gewährleistung der Informationssicherheit fortlaufend betrieben, überwacht und gesteuert werden.

Der Schutz von Informationen muss wirksam gesteuert werden. Ein Information Security Management System stellt überprüfbar sicher, dass die Informationssicherheitsziele eines Unternehmens mit angemessenem Aufwand erreicht werden können. Es erlaubt jederzeit eine Bewertung der Wirksamkeit und des Kosten-Nutzen-Verhältnisses der Massnahmen zur Gewährleistung der Informationssicherheit. Ausserdem ermöglicht es die klare Zuweisung von Verantwortlichkeiten in diesem Bereich und stellt sicher, dass die Verantwortlichkeiten tatsächlich wahrgenommen werden.

Ein ISMS unterstützt die Verantwortlichen dabei, risikobasiert und zielgerichtet zu entscheiden und geeignete Massnahmen zum Schutz von Informationen vorzunehmen. Das bietet nicht zuletzt auch Vorteile im Umgang mit Regulierungs- und Aufsichtsstellen.

Komponenten

Projekte zur Erstellung oder Weiterentwicklung eines ISMS beinhalten in der Regel die folgenden essenziellen Komponenten:

• Schaffung akzeptierter und durchsetzbarer Grundlagen (Regulative wie Policies etc.) zur Etablierung des ISMS
• Festlegung des Scopes des ISMS (Betrifft es nur bestimmte Bereiche des Unternehmens oder das ganze Unternehmen?); dazu dient die normative Abgrenzung des ISMS
• Schaffung einer handlungsfähigen Organisation zur Zuweisung der nötigen Verantwortlichkeiten (AKV der Verantwortlichen)
• Ausrichtung der Betriebsprozesse an den Gegebenheiten im Unternehmen und den bestehenden Prozessen und Organisationen (z. B. Risikomanagement oder IT-Sicherheitsorganisation)
• Sicherstellung der Wirksamkeit, Akzeptanz und Angemessenheit des ISMS mit Support- und Verbesserungsprozessen (KVP mittels PDCA-Zyklus) sowie internen ISMS-Audits
• Definition von Schnittstellen zu verwandten Bereichen wie Datenschutz, Risikomanagement etc.

Bei Bedarf können folgende Komponenten ergänzt werden:

• Erarbeitung weiterer branchenspezifischer Lieferobjekte (z. B. im Gesundheitswesen)
• Support bei der Einführung des ISMS
• Erarbeitung der für eine gewünschte Zertifizierung nötigen Grundlagen

Verschiedene anerkannte Standards unterstützen die Konzeption, Einführung und Verbesserung eines ISMS. Weit verbreitet sind insbesondere die Standards der ISO/IEC-27000-Reihe sowie Standards des bundesdeutschen BSI. In den letzten Jahren wird auch zunehmend das US-amerikanische NIST Cybersecurity Framework zur Ausgestaltung von ISMS beigezogen. Jeder Standard bietet spezifische Vor- und Nachteile, sodass die Implementierung eines ISMS üblicherweise eine Mischform mehrerer Standards darstellt.

Unser Vorgehen

Temet verfügt über langjährige und branchenübergreifende Erfahrung in der Entwicklung, Implementation, Bewertung und Verbesserung von ISMS. Auch mit entsprechenden Aufbau- und Ablauforganisationen kennen sich unsere Experten aus. Mit unserer Expertise können wir geschäfts-, risiko- und sicherheitsverantwortliche Stellen unterstützen und bei Bedarf bis zur erfolgreichen Zertifizierung ihres ISMS nach dem gewählten Standard begleiten.

Temet nutzt dazu die Hilfsmittel der Auftraggeber, soweit dies gewünscht wird. Daneben verfügen wir über eigene Hilfsmittel (Frameworks, Kataloge, Methoden etc.), die eine Validierung oder eine Verbesserung des ISMS in Ihrem Unternehmen ermöglichen. Zur bestmöglichen Erreichung der kundenspezifischen Ziele werden im Normalfall verschiedene Standards und Hilfsmittel kombiniert eingesetzt.

Kundennutzen

Mit unserer Hilfe haben zahlreiche Auftraggeber erfolgreich neue ISMS eingeführt, bestehende Systeme verbessert und Zertifizierungen nach ISO/IEC 27001 erreicht. Dank unserer Arbeit erhalten Sie Transparenz über ihre Risikoexposition, steigern die Wirtschaftlichkeit ihrer Informationssicherheitsmassnahmen und stellen Compliance sicher, wo regulatorische Auflagen zu erfüllen sind.