Information Security Management Systems

Information Security Management Systems

Mit Blick auf die regulatorischen Veränderungen im Bereich des ICT-Infrastrukturschutzes in Unternehmen, werden die Anforderungen an das Informationssicherheitsmanagement innerhalb der Europäischen Union immer größer. Dies spiegelt sich auch in neuen Normen und Vorschriften wider, wie zum Beispiel dem Informationssicherheits-Managementstandard ISO / IEC 27001, der Datenschutz-Verordnung (EU) 2016/679 und der neuen Cyber-Sicherheitsrichtlinie (EU) 2016 / 1148. 

 

Welche Unternehmen sollten ihre Informationssicherheit verwalten? 

Die Implementierung eines Informationssicherheits-Managementsystems auf der Grundlage des ISO / IEC 27001-Standards ist freiwillig. In dieser Hinsicht entscheidet die Organisation, ob ein Managementsystem implementiert werden soll. Der Erhalt einer Zertifizierung, gilt als indirekter Nachweis, dass die jeweilige Organisation den gesetzlich vorgeschrieben Auflagen gerecht wird. Dabei ist es in der EU bereits möglich, darauf hinzuweisen, welche Organisationen diverse Informationssicherheitssysteme benötigen – oder künftig benötigen werden. Dies sind Betreiber wesentlicher Dienstleistungen - z.B. Strom-, Öl- und Gasunternehmen, Organisationen aus dem Luft- und Schienenverkehr-Sektor, aber auch Dienstleister aus dem Bank- und Gesundheitswesen. Es verwundert daher nicht, dass sich diese Organisationen zunehmend für ein Informationssicherheits-Managementsystem entscheiden, entweder aufgrund branchenspezifischer Anforderungen oder um das Vertrauen zu ihren Kunden auf- und auszubauen. 

 

Informationssicherheits-Managementsystem – was genau ist das? 

Die ISO / IEC 27000 definiert ein Informationssicherheits-Managementsystem (ISMS) als ein Rahmenwerk von Richtlinien, Verfahren, den dazugehörigen Ressourcen sowie Aktivitäten, die gemeinsam von einer Organisation zum Schutz ihrer Informationsressourcen verwaltet werden. Hauptsächlich sind es Personen, denen bereits vordefinierten Rollen zugewiesen wurden, die zur Erreichung und Aufrechterhaltung der Sicherheitsziele im Unternehmen verantwortlich zeichnen. Deren Aktivitäten werden als Teil eines Managementsystems durchgeführt, welches Richtlinien, Prozesse, Verfahren, Anweisungen und Informationen enthält, die das Informationssicherheitsmanagementsystem beschreiben. 

 

Management-Informations-Sicherheitssystem – Framework verwandter Elemente 

Ein Managementsystem definiert sich quasi als ein Framework verwandter Elemente. Richtlinien werden in die Arbeitsabläufe und Prozesse implementiert, um festgelegte Ziele erreichen zu können. Es gilt zu beachten, dass Unternehmen zunehmend integrierte Managementsysteme nutzen, indem sie beispielsweise die Anforderungen an den Informationsschutz gemäß ISO / IEC 27001 mit dem in ISO 22301 definierten Notfallmanagementsystem kombinieren. In diesem Zusammenhang wird auch zur Inanspruchnahme eines Informationssicherheitsberaters geraten. Kompetenzen werden aufgebaut, um sie im Nachgang konkret nutzen zu können.

Datum: 6 July 2018, 11:07 am
Das könnte Sie ebenfalls interessieren: