icon

Individuelles ISMS und Richtlinien für Ihr Unternehmen

Alle Maßnahmen, die zur Risikominimierung im Rahmen des IT-Risikomanagements initiiert werden, können im Rahmen eines Informationssicherheits-Management-Systems (ISMS) aktiv gemanaged werden. Die Einführung eines ISMS ist ein Projekt mit konkreten Zielen und Phasen, die zu Beginn abgestimmt werden müssen.


Der Wert des ISMS zeigt sich allerdings erst dann wirklich, wenn es als geregelter Prozess und in Form einer Sicherheitskultur etabliert ist und durch jeden Mitarbeiter gelebt wird. Das heißt also, dass nicht EIN Informationssicherheitsbeauftragter die Informationssicherheit garantieren kann, sondern dass alle Mitarbeiter im Unternehmen etwas dazu beisteuern müssen. Die Aufgaben des Informationssicherheitsbeauftragten sind übergreifend. Er konzipiert und überprüft Sicherheitsfunktionen. Diese können organisatorischer Natur sein oder auch physischer, wie beispielsweise Zutrittskontrollsysteme, mit denen das Kommen und Gehen überprüft wird, oder es sind IT-technische Funktionen, wie die Absicherung von IT-Komponenten, also beispielsweise Netzwerkdruckern oder Web-Servern. Die dafür nötigen Maßnahmen werden durch die jeweiligen Spezialisten umgesetzt, die die betreffenden Produktspezifika kennen, und deren Wirkungsweise in Zusammenarbeit mit dem Informationssicherheitsbeauftragten so sicher wie möglich und nötig machen.

Die grundsätzlichen Phasen bei der Einführung eines ISMS sind:

  • definieren
  • einführen und etablieren
  • kontrollieren

Das ISMS und die passenden Richtlinien für Ihr Unternehmen definieren

Welche Maßnahmen, Verfahren und Regeln für eine funktionierende Informationssicherheit im Unternehmen nötig sind, wird anhand von Schutzbedarfs- und der Risikoanalysen festgestellt. Sind diese Analysen durchgeführt, hat man festgestellt, welche Risiken für das Unternehmen relevant sind. Daraufhin können angemessene Maßnahmen definiert werden. Die Richtlinien (und diesen untergeordnet dann Verfahrens-, Arbeits- oder Organisationsanweisungen) werden erstellt, um die Vorgaben des ISMS für die einzelnen Abteilungen detaillierter darzustellen.

Das ISMS und Richtlinien einführen

Ein ISMS im Unternehmen einzuführen, ist ein individueller Prozess. Es gibt vielfältige sinnvolle Maßnahmen wie Informationssicherheitsschulungen und Awareness-Programme. Ich habe immer wieder festgestellt, dass vor allem die Sensibilisierung ALLER Mitarbeiter für das Thema Sicherheit ein ganz wesentlicher Punkt in diesem Prozess ist. Informationssicherheit kann nur funktionieren, wenn alle Beteiligten entsprechend umsichtig agieren.

Die Einhaltung von ISMS und Richtlinien kontrollieren

Hierfür sollte ein internes Kontrollsystem etabliert werden. Fokussiert auf die wichtigsten Schlüsselstellen sollten technisch unterstützte Reporting-Möglichkeiten aufgebaut werden.

Ein konkretes Beispiel für diese Phasen

Wie kann man sich die oben beschriebenen Phasen nun konkret im Unternehmensalltag vorstellen? Sagen wir zum Beispiel, eine aus dem ISMS resultierende Richtlinie wird...

  • ... definiert: Eine Richtlinie zum Umgang mit IT-Equipment auf Dienstreisen wird erstellt.
  • ... eingeführt: Es werden Checklisten für Auslandsreisen erstellt und Schulungen dazu abgehalten.
  • ... etabliert: Alle Mitarbeiter, die Dienstreisen in „kritische“ Länder antreten sollen, werden vor Antritt der Reise in einem Gespräch noch einmal für konkrete Gefahren und das richtige Verhalten sensibilisiert.
  • ... kontrolliert: Nach der Reise wird das IT-Equipment auf Vollständigkeit und Unversehrtheit geprüft und ein Gespräch geführt, in dem man sich auch über eventuelle Auffälligkeiten während der Reise austauschen kann.