Informationssicherheits-Managementsystem (ISMS)

Informationen und die sie verarbeitenden Prozesse, Systeme und Netzwerke sind wichtige Werte jeder Organisation, sowohl in der öffentlichen Verwaltung als auch in der Privatwirtschaft. Die Informationssicherheit soll hierbei die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen und der sie verarbeitenden Systeme gewährleisten.

Ein Informationssicherheits-Managementsystem (ISMS) umfasst

  • die erforderliche Aufbauorganisation (Rollen und Gremien) und die Ablauforganisation (Sicherheitsprozesse) sowie
  • die erforderlichen Richtlinien (Verfahren und Regeln)

zur fortlaufenden Definition, Steuerung, Kontrolle, Aufrechterhaltung und Verbesserung der Informationssicherheit in der Organisation auf Basis eines Risikomanagementansatzes.

ISMS-Prozessmodell

Das Informationssicherheits-Management ist ein kontinuierlicher Prozess, dessen Strategien und Konzepte ständig auf ihre Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf fortzuschreiben sind.

Das Österreichische Informationssicherheitshandbuch beschreibt das ISMS-Prozessmodell auf Basis des PDCA-Life-Cycle-Modells folgendermaßen:

  • PLAN
    Festlegen des ISMS; also relevante Sicherheitsziele und -strategien ermitteln, eine organisationsspezifische Informationssicherheits-Politik erstellen und spezifisch geeignete Sicherheitsmaßnahmen auswählen
  • DO
    Umsetzen und Betreiben des ISMS, also Sicherheitsmaßnahmen realisieren, für ihre Einhaltung sorgen und Informationssicherheit im laufenden Betrieb inklusive in Notfällen gewährleisten
  • CHECK
    Überwachen und Überprüfen des ISMS auf seine Wirksamkeit, das bedeutet Vorhandensein, Sinnhaftigkeit, Einhaltung der Sicherheitsmaßnahmen zu überprüfen, aber auch Kenntnis über Vorfälle sowie übliche Good Practices zu erlangen.
  • ACT
    Instandhalten und Verbessern des ISMS, das bedeutet auf erkannte Fehler, Schwachstellen und veränderte Umfeldbedingungen zu reagieren und die Ursachen für Gefährdungen zu beseitigen. Dies bedingt erneutes Planen, womit sich der Kreislauf schließt.

Elemente des Informationssicherheits-Managements

Ein ISMS verbindet die wesentlichen Elemente des Informationssicherheits-Managements zu einem geschlossenen Gesamtprozess.

Dazu zählen:

  • Richtlinienmanagement
    Festlegung der innerorganisatorischen Vorschriften in Bezug auf die Informationssicherheit unter Berücksichtigung bestehender rechtlicher und regulativer Vorgaben
  • Awareness- und Schulungsprogramm
    Durchführung von Sensibilisierungs- und Schulungsmaßnahmen
  • Risikomanagement
    Identifikation, Bewertung und Behandlung bestehender Sicherheitsrisiken mittels geeigneter organisatorischer und technischer Sicherheitsmaßnahmen
  • Auditprogramm
    Planung und Durchführung von System-, Prozess- und Produktaudits sowie von Sicherheitsanalysen (Penetrationstests)
  • Kennzahlenmanagement
    Überwachung der Maßnahmenumsetzung sowie Messung der Wirksamkeit von Sicherheitsmaßnahmen und des Reifegrads von Sicherheitsprozessen
  • Sicherheitsvorfallmanagement
    Prüfung und Behandlung von Sicherheitsvorfällen und kritischen Sicherheitsschwachstellen
  • IT-Notfall- und Krisenmanagement
    Festlegung und Umsetzung der Notfallvorsorge und Notfallbewältigung, Notfallübungen und Notfallpläne

Weitere Informationen

Folgende Normen, Standards und Sicherheitshandbücher unterstützen bei der Implementierung und dem Betrieb eines ISMS:

  • ISO/IEC 27001 – Anforderungen an Informationssicherheits-Managementsysteme
  • ISO/IEC 27002 – Leitfaden für das Management der Informationssicherheit
  • ISO/IEC 27003 – Leitfaden für die ISMS-Implementierung
  • ISO/IEC 27010 – Inter-Sector Communication
  • ISO/IEC 27011 – Informationssicherheitsmanagement-Leitfaden für die Telekommunikation
  • ISO/IEC 27799 – Informationssicherheits-Management im Gesundheitswesen
  • BSI-Standard 100-1 – Managementsysteme für Informationssicherheit – ISMS
  • BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise
  • IT-Grundschutzkataloge des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI)
  • Österreichisches Informationssicherheitshandbuch – Etablierung eines umfassenden Informationssicherheits-Managementsystems (ISMS) in Behörden
Letzte Aktualisierung: 31. März 2017

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria