Viele Organisationen stehen vor der Herausforderung, ein Informationssicherheitsmanagementsystem nach DIN EN 27001 / TISAX / CISIS 12 einzuführen. Wir beantworten die häufigsten Fragen unserer Kunden.

Ein Informationssicherheitsmanagementsystem (ISMS) ist ein systematischer Ansatz zur Verwaltung und zum Schutz sensibler Unternehmensinformationen. Es umfasst die Festlegung von technischen Standards, Richtlinien, Verfahren und Kontrollen, die auf die Verwaltung von Risiken im Zusammenhang mit Informationssicherheit abzielen. Ein ISMS wird häufig nach nationalen & internationalen Standards wie ISO 27001, TISAX und CISIS 12 zertifiziert.

Ein Information Security Management System (ISMS) ist ein Werkzeug, das Unternehmen dabei unterstützt, die Informationssicherheit zu gewährleisten. Durch einen prozessorientierten Ansatz, der von der Unternehmensführung ausgeht, trägt das ISMS maßgeblich dazu bei, die Sicherheit von Systemen und Organisationen zu sichern und nachhaltig, kontinuierlich zu verbessern. Dies umfasst verschiedene Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Systemen, Daten und Prozessen, aber auch Informationssicherheitsmaßnahmen zur Prävention, Detektion und Reaktion auf potenzielle Bedrohungen oder Sicherheitslücken.

Ein ISMS umfasst Regeln, Verfahren und Techniken, die das gemeinsame Ziel verfolgen die Informationssicherheit von Organisationen und Unternehmen strukturell zu verbessern und diese vor Cyber-Angriffen sowie Sicherheitsverletzungen zu schützen.

Das Informationssicherheitsmanagement ist ein Regelwerk basierend auf international gültigen Normen wie u.a. DIN EN ISO 27001, TISAX, usw. und dient einführenden Unternehmen regelmäßig als Orientierungshilfe zum Aufbau ihres individuellen Informationssicherheitsmanagementsystems.

Die Organisationsziele sind in diesem Zusammenhang ein einheitliches Instrument zu etablieren, die Informations- IT- und Datensicherheit im Unternehmen effektiv managen zu können, die Organisation proaktiv vor Bedrohungslagen zu schützen und zielorientiert auf Cyberangriffe reagieren zu können, um potenziellen Schaden für die Gesamtorganisation zu minimieren. Die daraus resultieren Schutzmechanismen betreffen nicht nur die eigene Organisation, sondern wirken über die eigene Organisation hinaus z.B. in die Lieferkette, gegenüber Kunden oder anderen interessierten Kreisen. In der Zusammenarbeit mit anderen Organisationen entsteht dadurch Vertrauen, dass man sich mit potenziellen Sicherheitslücken und Bedrohungslagen auseinandersetzt und einen nachhaltigen Prozess zur kontinuierlichen Verbesserung der Informationssicherheit etabliert hat.

Die Einführung eines ISMS umfasst folgende Meilensteine:

Die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) erfordert mehr als die Anstrengungen einer einzelnen Person oder eines kleinen Teams. Es ist essenziell, dass die Unternehmensleitung die Verantwortung für die ISMS-Implementierung übernimmt und alle notwendigen Ressourcen zur Verfügung stellt.

Als externe Informationssicherheitsbeauftragte steuern, koordinieren und unterstützen wir gerne ihr internes ISMS-Team bei der Implementierung oder der nachhaltigen Verbesserung ihres Informationssicherheitsmanagementsystem

In einem ersten Schritt geht es darum, einen gemeinsamen Plan, Verständnis und Ziele für die Implementierung eines ISMS zu entwickeln, die relevanten ISMS-Anforderungen und Sicherheitslücken zu identifizieren, zu definieren und zu dokumentieren, den aktuellen Compliance-Status ihrer Organisation zu bewerten und den derzeitigen Stand der Technik zu bestimmen (PLAN). Daraus resultieren kurz- mittel- bis langfristige Handlungsmaßnahmen zur Verbesserung der Informationssicherheit ihrer Organisation. Diese können u.a. technischer, organisatorischer qualifizierender, aber u.a. auch rechtlicher Natur sein.

Wir befinden uns jetzt in der Anpassungs-, und Umsetzungsphase (DO) und beginnen mit der Realisierung der gemeinsam bestimmten Handlungsmaßnahmen. Wichtig ist in diesem Zusammenhang, dass es bei der Einführung eines ISMS, um die Etablierung eines kontinuierlichen Verbesserungsprozesses geht. Da Ziele und Handlungsmaßnahmen z.B. auch über einen längeren Zeitraum stattfinden können oder fortlaufend sind, ist die Anforderung explizit nicht, dass Sie mit allen informationssicherheitsrelevanten Maßnahmen zum Zertifizierungszeitpunkt fertig sein müssen und diese vollständig abgeschlossen haben. Vielmehr geht es bei der Einführung um die Etablierung einer Ablauforganisation um die gesetzten Ziele und Maßnahmen der Organisation nachhaltig zu erreichen und zur Verbesserung der Informationssicherheit beizutragen. Selbstverständlich müssen allerdings die grundlegenden Anforderungen an ein ISMS-Normenvorgabe im Rahmen der Vorbereitungshandlungen etabliert worden sein und die Voraussetzung und damit die Zertifizierungsfähigkeit ihrer Organisation herzustellen.

Anschließend folgt die Prüfphase (Check) in welcher die erzielten Ergebnisse bewertet werden und die Vorbereitung über interne Audits bis zum endgültigen Zertifizierungsaudit (externes Audit) stattfindet. Wird die Zertifizierung einmal erteilt, muss dieser Status in regelmäßigen Abständen bestätigt werden. Es beginnt daher der fortlaufende Verbesserungsprozess der Informationssicherheit ihrer Organisation. (Act)

Die Zertifizierungsvorbereitung kann je nach Größe, Mitwirken und Komplexität der Organisation zwischen 6-18 Monaten dauern. Ihre Organisation und ihr internes ISMS-Team durchlaufen in dieser Zeit mehrere Entwicklungsschritte. In der ersten Phase (Plan) geht es im Wesentlichen darum, einen gemeinsamen Einführungsplan und Anforderungen an das Informationssicherheitsmanagement zu definieren und die Ausgangssituation zu bewerten um daraus Handlungsbedürfnisse an Stand der Technik, Compliance, usw. ableiten zu können. In der zweiten Phase geht es darum, die grundlegenden und zwingend erforderlichen Maßnahmen zu realisieren die eine Zertifizierungsfähigkeit begründen. In der dritten Evaluationsphase beginnt die Vorbereitung auf eine externe Zertifizierung.

Im Rahmen eines Ersttermins versuchen wir den Stand ihrer Organisation grob zu evaluieren, um über unsere Erfahrungswerte eine Indikation zum zeitlichen Umfang zukommen lassen zu können.

Die Vorteile umfassen, Schutz sensibler Informationen ihrer Organisation, nachhaltige Verbesserung der IT- und Informationssicherheit, verbessertes Risikomanagement, erhöhte betriebliche Effizienz, gesteigerte Glaubwürdigkeit bei Kunden und Partnern, Einhaltung gesetzlicher Anforderungen und Compliance Vorgaben und Schutz vor finanziellen Verlusten durch Sicherheitsvorfälle.

ISMS-Zertifizierungen nach ISO 27001 haben sich als international anerkannter Standard in der Informationssicherheit etabliert. Sie bestätigen am Schluss eines Implementierungsprozesses, dass die Organisation die Standards der Informationssicherheit eingeführt haben und die Anforderungen des Standards erfüllen. ISMS-Zertifizierungen werden von unabhängigen Zertifizierungsstellen angeboten, die von der DAkkS (Deutsche Akkreditierungsstelle) akkreditiert sein müssen. Diese Zertifizierungsstelle agiert als unabhängige Instanz, die die Einhaltung der Normen überprüft und das ISO 27001-Zertifikat vergibt.

Um eine ISMS-Zertifizierung nach ISO 27001 zu erhalten, muss eine Organisation ein ISMS implementieren und sich regelmäßigen Überprüfungen unterziehen. Diese Zertifizierungen dienen dem Schutz sensibler Daten und Systeme vor unbefugtem Zugriff, Missbrauch und Beschädigung. Unternehmen, die eine ISMS-Zertifizierung anstreben, müssen ein umfassendes Audit durchlaufen und sich an strikte ISMS-Richtlinien halten.

Die ISMS-Zertifizierung nach TISAX® bietet einen etablierten Rahmen für die Umsetzung und Überprüfung von Informationssicherheitsmanagementsystemen (ISMS). Diese international anerkannte Zertifizierung wird von der VDA QMC verliehen und richtet sich an Unternehmen, die in der Automobilindustrie tätig sind oder mit ihr verbunden sind. Sie basiert auf den Standards ISO/IEC 27001 und VDA ISA.

Durch die ISMS-Zertifizierung nach TISAX® wird ein hohes Maß an Sicherheit für Unternehmensdaten gewährleistet. Sie stellt sicher, dass Unternehmen strenge Anforderungen an die Informationssicherheit erfüllen, was besonders in der stark vernetzten und datenintensiven Automobilindustrie von entscheidender Bedeutung ist.

Die Anforderungen und die Durchführung des Assessments variieren je nach festgelegtem Prüfziel. Bei Assessment Level 1 reicht eine Selbstbewertung durch die Organisation aus. Bei Assessment Level 2 überprüft der Auditor die Dokumentation und Nachweise, üblicherweise remote, aber bei Bedarf können auch Vor-Ort-Inspektionen durchgeführt werden. Assessment Level 3 beinhaltet zusätzlich regelmäßige Vor-Ort-Inspektionen durch den Auditor, um die Implementierung und Effektivität des Informationssicherheitsmanagementsystems direkt vor Ort zu überprüfen.

Zu den Hauptanforderungen gehören die Ingangsetzung eines ISMS, die Dokumentation von Richtlinien und Verfahren, die Durchführung von Risikobewertungen und die Einhaltung der festgelegten Sicherheitskontrollen. Regelmäßige interne und externe Audits sind ebenfalls zwingend erforderlich.

Die Einführung eines Informationssicherheitssystems (ISMS) ist in vielen Branchen verpflichtend geworden – kritische Unternehmen, wie Energie- und Wasserversorger, Banken und Versicherungen sowie Zulieferbetriebe müssen ein zertifiziertes (ISO 27001, TISAX, BSI) ISMS einführen und nachweisen können. Der verpflichtete Organisationskreis wird durch die Umsetzung der NIS2 Directive der EU in nationales Recht noch einmal deutlich ausgeweitet. Die erfolgreiche Implementierung eines ISMS trägt zur nachhaltigen Optimierung einer systematischen Informationssicherheit bei.

Die ISO 27001-Zertifizierung ist nicht gesetzlich vorgeschrieben, aber sie wird von vielen Unternehmen als Best Practice angesehen und hat sich im B2B Umfeld als Standard durchgesetzt. Spezielle Zertifizierungen und Ausprägungen gibt es in bestimmten Branchen. Genannt sei hier z.B. die Automobilindustrie, für die eine Zertifizierung nach TISAX zusätzliche spezielle Anforderungen mit Branchenbezug definiert.

Nach der erstmaligen Zertifizierung muss das ISMS kontinuierlich gepflegt und verbessert werden. Jährliche Überwachungsaudits und eine Rezertifizierung alle drei Jahre sind erforderlich, um die Zertifizierung aufrechtzuerhalten.

Die ISO 27001-Zertifizierung muss alle drei Jahre erneuert werden. Unternehmen müssen jährliche Überwachungsaudits bestehen, um die kontinuierliche Einhaltung der Norm sicherzustellen.

Die Kosten für eine ISO 27001-Zertifizierung variieren je nach Unternehmensgröße, Komplexität, Mitwirkungsgrad und Wissenstand der organisationsinternen Ansprechpartner, dem vorhanden Stand der Technik und dem gewählten Zertifizierungsanbieter. Vor Angebotserstellung ist bei uns ein Erstgespräch mit den verantwortlich, handelnden Personen in ihrer Organisation notwendig, um auch klären zu können, welche Intention hinter der Einführung eines Informationssicherheitsmanagementsystems steht.

Für Organisationen der öffentlichen Hand gibt es je nach Bundesland und Träger unterschiedlich, teilweise Fördermittel zur Einführung von Informationssicherheitsmanagementsystemen.

Hüttl & Vierkorn unterstützt Sie bei der Beantragung der Fördergelder, bei der Beratung und Umsetzung eines ganzheitlichen ISM-Systems in Ihrer Kommune, Gemeinde oder Stadt.