Person hält grünen Haken in der Hand

Strukturierte Informationssicherheit durch ein ISMS

Worum geht’s?

Sie möchten sich das Thema Cybersicherheit vornehmen, aber gehen gerne strukturiert an die Sache ran? Dann ist möglicherweise ein Informationssicherheitsmanagementsystem (ISMS) das richtige für Ihr Unternehmen.

Ein ISMS ist ein System mit dem alle Aspekte der Informationssicherheit angepackt werden können. Ein ISMS umfasst unter anderem eine Risikoanalyse, aber auch die Ableitung passender Maßnahmen für ihr Unternehmen.

Warum ein ISMS?

Die Einführung eines ISMS bietet für Unternehmen viele Chancen. Unternehmen gehen dabei die Frage der Cybersicherheit systematisch an, das heißt es werden Risiken abgewogen und entsprechend Maßnahmen abgeleitet. So haben die Unternehmen eine Übersicht darüber, wie der Cybersicherheitsprozess geregelt ist, und wo möglicherweise noch Lücken bestehen.

Ein ISMS ist ein wichtiger Bestandteil vieler Zertifizierungen und gesetzlichen Regelungen, wie zum Beispiel ISO 27001 oder dem BSI-Grundschutz. Haben Sie in Ihrem Unternehmen bereits ein ISMS eingeführt, dann haben Sie eine Grundlage für die Erfüllung dieser Standards geschaffen.

Dabei gibt es verschiedene Varianten eines ISMS, die sich an verschiedenen Richtlinien orientieren. Je nach Anforderung des Unternehmens kann sich die Ausgestaltung unterscheiden.

Wie an ein ISMS rangehen?

Ein ISMS einzuführen ist ein langfristiger Prozess und sollte als solcher angegangen werden. Das bedeutet, dass ein Projektteam damit beauftragt werden sollte, das Kapazitäten für die Umsetzung des Projekts freihalten kann.

Im nächsten Schritt sollten Sie sich überlegen, welche Ziele Sie mit dem ISMS erreichen wollen. Sie streben eine Zertifizierung an? Sie möchten aus Gründen der Öffentlichkeitswirksamkeit ein ISMS einführen? All diese Gründe und Ziele steuern, wie ihr ISMS ausgestaltet werden sollte.

Sie brauchen Hilfe und Beratung zur Auswahl des richtigen ISMS? Die ISMS-Coaches der Mittelstand-Digital Zentren bieten kostenfreie Unterstützung.

Die Schritte zur Einführung eines ISMS
  1. Die Auswahl eines ISMS: Die Entscheidung für ein bestimmtes ISMS ist vor allem dadurch gesteuert, was Sie damit erreichen wollen. Es gibt eine Reihe an Standards, die eine bestimmte Form des ISMS vorgeben, so zum Beispiel die DIN ISO 27001 oder der BSI-Grundschutz. Die Unterschiede sind teilweise klein, allerdings kann es auch sein, dass die Entscheidung für ein bestimmtes ISMS von Ihrer Branche abhängt.
  2. Ihr Cybersicherheits-Niveau bestimmen: Nutzen Sie den CYBERsicher Check um Ihren derzeitigen Stand einzuschätzen. Sie können im Anschluss einen CYBERDialog durchführen, der Ihnen einen weiteren Einblick bietet und wichtig Anhaltspunkte dazu gibt, was Ihre großen Baustellen sind.
  3. Ihren aktuellen Stand dokumentieren: Verschaffen Sie sich einen Überblick über den Stand Ihrer IT. Erarbeiten Sie, welche Geräte genutzt werden, welche Software im Einsatz ist und welche Prozesse durchgeführt werden. Dokumentieren Sie Ihre Ergebnisse, sie sind die Grundlage für die Abschätzung von Risiken.
  4. Ziele bestimmen: Bestimmen Sie, welches Cyberrisiko-Ziel sie erreichen möchten. Was möchten Sie einrichten, welchen Stand möchten Sie am Ende des Prozesses haben? Nutzen Sie die Ergebnisse der Einschätzung des Cybersicherheits-Niveaus um sich konkrete Ziele zur Verbesserung zu stecken.
  5. Risiken und Schutzbedarfe einschätzen: Identifizieren Sie, welche Bestandteile Ihres Geschäfts für den Fortbestand des Geschäftsbetriebs am wichtigsten sind, wo die sensibelsten Daten verarbeitet werden, welche Geschäftsbereiche am stärksten Risiken ausgesetzt sind. Schreiben Sie das Ergebnis auf.
  6. Verantwortlichkeiten definieren: Bestimmen Sie eine Person, die für die Umsetzung verantwortlich ist. Grundsätzlich liegt die Verantwortlichkeit für Cybersicherheit in der Führungsetage, doch die Umsetzung Ihres ISMS kann auch delegiert werden. Nutzen Sie diesen Prozess auch, um zu definieren, wer in Zukunft welche Zugriffsrechte erhalten soll.
  7. Maßnahmen ausgestalten: Legen Sie nun organisatorische und technische Maßnahmen fest, die dem Schutz Ihrer Cybersicherheit dienen. Schreiben Sie diese Maßnahmen in Richtlinien fest, die ab dann in Ihrem Unternehmen genutzt werden sollen.
  8. Einen Revisionszyklus etablieren: Legen Sie fest, wie oft und wann dieser Prozess wiederholt werden muss. Die Revision der Prozesse wird zunächst einmal aufwendiger sein und viel Energie beanspruchen, doch nach einiger Zeit werden sich die Prozesse so setzen, dass die Revision nur wenig Zeit und Personal beansprucht.

In unserem Blogartikel erklären wir, was zum Aufbau eines ISMS gehört und wie Sie am besten dabei vorgehen.

Zum Beitrag

Sie möchten mit eine:r Expert:in über die Cybersicherheit in Ihrem Unternehmen sprechen? Nutzen Sie die Möglichkeit und buchen Sie einen kostenfreien CYBERDialog!

Unsere Materialien für Sie

Titelbild Passwörter Teil 2

IT-Sicherheit strukturiert aufbauen – 10 Goldene Regeln

Zum Material