Informationssicherheitsmanagement – ISMS
Mehr als it-Sicherheit
Mit einem ISMS zu mehr Cyber-Sicherheit, weniger Haftungsrisiken und erhöhter Transparenz
Was ist ein ISMS?
Ein Informationssicherheitsmanagementsystem ist eine Methodik, um die Sicherheit ihrer digitalen Informationen zu erhöhen – nachhaltig und regelmäßig. Es beinhaltet Abläufe zur Planung, Durchführung und Kontrolle von Maßnahmen, sowohl im technischen als auch im organisatorischen Bereich. Ihr komplettes Unternehmen wird durch die Einführung eines ISMS hinsichtlich möglicher Risiken bei dem Umgang mit sensiblen Unternehmensdaten geprüft. Auf Basis der Risikobeurteilung können nicht nur Verbesserungsmaßnahmen ergriffen werden, sondern mit Hilfe von Richtlinien auch Prozessabläufe definiert werden, die häufig noch nicht oder unzureichend geregelt waren. Es liefert damit auch ein Instrument, um alle relevanten Vorschriften und Gesetze einzuhalten.
Ein ISMS muss dabei nicht zwangsläufig ein „Monster“ sein – abhängig von Ihrer Unternehmensstruktur wird auch das ISMS System auf Ihre Strukturen zugeschnitten, sodass es auch nur die Themenbereiche umfasst, die ihr Unternehmen betreffen. Mit unserer Erfahrung gestalten wir mit Ihnen ein lebendiges, schlankes ISMS, welches sich ihrer Unternehmensstrukturen anpasst.
Warum ISMS?
Natürlich dient ein ISMS primär der Sicherung der unternehmenseigenen Daten, welche meist die Geschäftsgrundlage des Unternehmens sind. Fehlen diese Informationen oder ist die IT-Infrastruktur nicht verfügbar, so führt dies durch eine massive Störung der Unternehmensabläufe nicht selten zu existenzbedrohenden Situationen. Ganz abgesehen vom Imageverlust, der mit einem IT-Sicherheitsvorfall verbunden ist, insbesondere wenn personenbezogene Daten betroffen sind. Mit der Einführung eines ISMS haben Sie ein Werkzeugkoffer an der Hand, mit welchem Sie den Cyberbedrohungen und IT-Vorfällen entgegentreten können. Es bietet Ihnen eine systematische Vorgehensweise, um den heutigen Stand der Technik zu erreichen und diesen auch zukünftig aufrecht zu erhalten.
Neben der Prävention von IT-Sicherheitsvorfällen stellen Sie als Geschäftsführung auch die Einhaltung Ihrer Sorgfaltspflicht durch das Betreiben eines ISMS sicher, denn aus heutiger Sicht kann sich die Geschäftsleitung den Risiken aus der Digitalisierung und somit aus den Cybergefahren nicht mehr entziehen. Die Einführung eines ISMS wird im AktG für AGs explizit gefordert, was nach aktueller Rechtsauffassung auch auf GmbHs übertragbar ist. Ein ISMS ist also auch ein wirksames Mittel, um die Haftung der Geschäftsführung zu minimieren.
Nicht zuletzt wird das Betreiben eines ISMS für z.B. Unternehmen der kritischen Infrastruktur oder der öffentlichen Verwaltung gesetzlich vorgeschrieben. Die Definition, welche Unternehmen zur kritischen Infrastruktur zählen, wird stetig ausgeweitet. Erst 2021 ist die neue Kritis-V in Kraft getreten. Die nächste Erweiterung wird mit der Umsetzung der EU NIS Richtlinie erwartet, welche demnächst in Kraft treten soll.
Welches ISMS-System?
Neben der international angesehenen Norm DIN EN ISO 27001 gibt es noch weitere Methoden, wie z.B. den BSI-Grundschutz oder das bei öffentlichen Einrichtungen verbreitete CISIS 12 (ehem. ISIS 12). Welches Regelwerk letztendlich das Passende ist hängt sowohl von Ihren Unternehmensstrukturen, Ihren Zielen und Ihren Geschmack ab. Häufig gibt es auch branchenspezifische Vorgaben, welche auf eines der genannten Regelwerke basiert. Wir analysieren gemeinsam mit Ihnen welcher Ansatz für Sie der beste ist, um Ihre Informationssicherheit zu gewährleisten.
Unsere Leistungen
Im Rahmen unserer ISO 27001 Beratung erarbeiten wir mit Ihnen gemeinsam Ihre individuelle Herangehensweise und unterstützen Sie in allen Phasen der Umsetzung:
- Kick-Off Workshop
- IST Analysen (technisch und organisatorisch)
- Erarbeitung und Begleitung des Risikomanagements
- Entwicklung individueller Managementprozesse
- Entwurf und Abstimmung von Richtlinien
- Projektplanung und -steuerung
- Durchführung interner Audits
- Begleitung externer Audits
- Schulungen und Mitarbeitersensibilisierung