Definitionen Was ist ein Managementsystem für Informationssicherheit?

Von Natalie Ziebolz

In einem Managementsystem für Informationssicherheit (ISMS) werden sowohl Regeln als auch Verfahren und Tools definiert, mit denen die Informationssicherheit in Unternehmen, Behörden und kritischen Infrastrukturen sichergestellt und optimiert werden kann.

Ein Managementsystem für Informationssicherheit definiert Regeln und Verfahren, mit denen die Informationssicherheit in Unternehmen, Behörden und Kritischen Infrastrukturen sichergestellt werden kann
Ein Managementsystem für Informationssicherheit definiert Regeln und Verfahren, mit denen die Informationssicherheit in Unternehmen, Behörden und Kritischen Infrastrukturen sichergestellt werden kann
(© aga7ta – stock.adobe.com)

Bei einem Managementsystem für Informationssicherheit (englisch: Information Security Management System) handelt es sich nicht um ein technisches System, sondern um Regeln, Methoden, Prozesse und Tools, die definiert werden, um die Informationssicherheit in Unternehmen, Behörden und kritischen Infrastrukturen zu steuern, zu kontrollieren und zu verbessern. Dafür werden die Risiken ermittelt und bewertet, Sicherheitsziele festgelegt und Verantwortlichkeiten sowie Abläufe klar definiert.

Welche Anforderungen ein ISMS erfüllen muss, ist in der Norm ISO 27001 festgelegt.

ISO 27000 regelt Schutzziele

Was genau schützenswert ist, definiert hingegen die ISO 27000. Dabei stehen drei Hauptaspekte im Vordergrund: Einerseits soll die Vertraulichkeit der Informationen gewährleistet werden. Es ist also durch die Absicherung der Zugänge sicherzustellen, dass diese Informationen nur von autorisierten Personen eingesehen werden können.

Andererseits spielen die Integrität sowie die Verfügbarkeit der Daten eine Rolle: Die Informationen dürfen nicht manipulierbar und müssen darüber hinaus jederzeit verfügbar sowie nutzbar sein.

Daneben bezieht sich die ISO 27000 auch auf die Authentizität, die Verbindlichkeit und die Verlässlichkeit der Informationen.

Informationssicherheit ist nicht gleich IT-Sicherheit

IT-Sicherheit und Informationssicherheit werden zwar häufig synonym verwendet, ersteres ist jedoch vielmehr ein Teil der Informationssicherheit und bezieht sich vor allem auf die technologische Sicherheit. Die Informationssicherheit beschäftigt sich hingegen allgemein mit der Sicherheit jeglicher Informationen in einem Unternehmen, einer Behörde oder sonstigen Institutionen. Das heißt, hier werden auch solche Informationen berücksichtigt, die noch gar nicht in digitaler Form, sondern beispielsweise auf Papier vorliegen.

Ein Managementsystem für Informationssicherheit umsetzen

Die Umsetzung eines ISMS findet in mehreren Schritten statt:

  • 1. Leistungsumfang festlegen: Zunächst muss die Unternehmensleitung (Top-Down-Ansatz) die Anwendungsbereiche, Zielvorgaben und Grenzen des Information Security Management Systems definieren. Dabei sollte auch festgelegt werden, welche Werte im Einzelnen schützenswert sind – Informationen etwa oder Services, physische Vermögenswerte sowie Fähigkeiten und Erfahrungen der Mitarbeiter. Hier fällt im Endeffekt alles darunter, das geschäftskritisch und somit für das Überleben eines Unternehmens essentiell ist.
  • 2. Risiken definieren und bewerten: Für jeden Wert werden die individuellen Risiken identifiziert. Anhand gesetzlicher Anforderungen oder Compliance-Richtlinien werden diese dann eingeordnet und nach ihrer Wichtigkeit priorisiert.
  • 3. Maßnahmen festlegen: Auf Grundlage der Risikobewertung werden nun die geeigneten technischen und organisatorischen Maßnahmen identifiziert und umgesetzt. Darunter fällt auch das Verteilen der Zuständigkeiten und Verantwortlichkeiten. So ist es unter anderem eine Aufgabe des ISMS, einen IT-Sicherheitsbeauftragten zu benennen. Dieser ist dem Vorstand unterstellt und wird auch bei der Auswahl neuer IT-Komponenten und Anwendungen von den IT-Verantwortlichen miteinbezogen.
  • 4. Überwachung der Maßnahmen: Die getroffenen Maßnahmen müssen überwacht und auf ihre Wirksamkeit überprüft werden. Fallen dabei Mängel oder neue Risiken auf, beginnt der ISMS-Prozess von neuem.

Der IT-Grundschutz als Grundlage

Wollen etwa Behörden, öffentliche Einrichtungen und Kritische Infrastrukturen ein ISMS umsetzen, steht ihnen dafür der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Verfügung. Darin sind einerseits die BSI-Standards mit Methoden und Vorgehensweisen zu unterschiedlichen Bereichen der Informationssicherheit enthalten – darunter die allgemeinen Anforderungen an das ISMS, IT-Grundschutz-Vorgehensweisen und ein Leitfaden zur Basis-Absicherung.

Andererseits fließt auch das IT-Grundschutz-Kompendium mit ein. In diesem werden anhand sogenannter IT-Grundschutz-Bausteine relevante Sicherheitsaspekte beleuchtet und dabei sowohl mögliche Gefährdungen als auch wichtige Sicherheitsanforderungen berücksichtigt. Wie die Maßnahmen schließlich umgesetzt werden, erfahren die IT-Beauftragten in den Umsetzungshinweisen.

Besonderheiten im Gesundheitswesen

Da das Gesundheitswesen zur kritischen Infrastruktur gehört, ist im IT-Sicherheitsgesetz der Schutz der informationstechnischen Systeme und Prozesse gesetzlich vorgeschrieben. Anhand von Audits und Zertifikaten muss dieser auch alle zwei Jahre nachgewiesen werden.

Zudem widmet sich die ISO 27799 ausschließlich dem Sicherheitsmanagement im Gesundheitswesen und spezifiziert die Anforderungen an das ISMS. Dabei geht die Norm über die ISO 27001/27002 hinaus und berücksichtigt unter anderem den erhöhten Schutzbedarf von Patientenakten.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung im Gesundheitswesen

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48132036)