Die ISMS Abkürzung in der ISO 27001
Durch den Trend zum Lieferantenmanagement werden Unternehmen immer häufiger von ihren Kunden aufgefordert ein ISO 27001 Zertifikat vorzuweisen. Die EU Richtline NIS 2.0 fügt dieser Forderung noch mehr Dringlichkeit hinzu, denn große Unternehmen müssen mit einer ISO 27001 Zertifizierung ihres ISMS ihre Bemühungen zur Informationssicherheit nachweisen.
Die ISMS Abkürzung steht für?
Die ISMS Abkürzung steht für Informationssicherheitsmanagementsystem. Ein ISMS beinhaltet Verfahrensanweisungen, Politiken, Regeln, Methoden, Prozesse und Maßnahmen. Damit wirkt ein ISMS als Regelwerk für die Informationssicherheit in Unternehmen und Behörden. Wer ein ISMS gemäß der ISO 27001 einführt, muss eine wirksame Vorgehensweisen erarbeiten. Dadurch soll die Durchführung organisatorischer und technischer Maßnahmen zu gewährleistet werden. Das Informationssicherheitsmanagementsystem muss mit seinen Verfahrensanweisungen fortlaufend kontrolliert, überwacht und optimiert werden. Bei der ISO 27001 handelt es sich nicht um ein reines IT Projekt. Kollegen aus der Personalabteilung, der Internen Revision, Personalreferat und andere Bereiche der Organisation müssen im ISMS Projekt mit involviert werden.
Was ist mit Informationssicherheit gemeint?
Der Begriff Informationssicherheit wird irrtümlich gerne mit IT-Sicherheit gleich gestellt. IT-Sicherheit berücksichtigt nicht Informationen auf analogen Medien (z.B. Papier, Mikrofilm, Postern, Aktenordner). Somit deckt Informationssicherheit alle Informationswerte eines Unternehmens. Diese müssen vor Bedrohungen (z.B. Manipulation, Missbrauch, Diebstahl, Cyberattacken, Sabotage, Spionage und Elementarschäden) geschützt werden. Wer die Informationssicherheit vernachlässigt, kann mit Reputationsschäden und empfindlichen Strafen rechnen.

Was ist das Ziel eines ISMS?
Eines ISMS will ein angemessenes Schutzniveau für Vertraulichkeit, Verfügbarkeit und Integrität von Informationen innerhalb der gesamten Organisation sicher stellen. Die Informationen können das Eigentum der Organisation oder von Dritten (z.B. Kunden, Lieferanten, Mitarbeiter, Besucher) sein. Im Rahmen der Zertifizierung nach ISO 27001 wird geprüft, ob die Informationen des festgelegten Geltungsbereichs nachhaltig geschützt werden. Eine systematische Umsetzung der Informationssicherheit ist für die Einhaltung von Sicherheitsstandards sowie gesetzlichen und vertraglichen Pflichten erforderlich. Im Rahmen des Aufbaus eines ISMS Regelwerks müssen potentielle Risiken identifiziert, analysiert und behandelt werden.
Wie behandelt ein ISMS Risiken?
Im Rahmen des Risikomanagements müssen Organisationen ihre Risiken identifizieren und mit angemessenen Maßnahmen verringern. Dabei wird bei technischen Systemen (z.B. Firewall Firmware, Webserversoftware, Smartphone Updates) regelmäßig eine Schwachstellenanalyse erforderlich. Man kann Risiken auch über den Abschluss einer Cyberversicherung oder anderen technischen Maßnahmen (z.B. Brandschutzanlage, Feuerlöscher, Cloudflare Proxy) abwehren bzw. verlagern. Darüber hinaus müssen Unternehmen eine Vielzahl an technischen und organisatorischen Vorkehrungen (z.B. Einführung eines SOC) treffen, um die komplexen Cybergefahren für die zu schützenden Daten aufrecht zu erhalten.
Muss man unbedingt alle Risiken behandeln?
Aufgrund von gesetzliche Vorschriften müssen Unternehmen eine Informationssicherheit proaktiv aufrecht erhalten. In Deutschland muss zudem das IT-Sicherheitsgesetz (IT-SiG), die Datenschutz-Grundverordnung (DSGVO) und demnächst die deutsche Umsetzung der EU NIS 2.0 Richtlinie eingehalten werden. In vielen Verträgen mit Konzernen wird die Informationssicherheit durch die Forderung nach einem ISMS fest verankert.
Wer ist für das ISMS verantwortlich?
Unternehmen müssen eine Person als Informationssicherheitsbeauftragten (ISB) benennen. Die Informationssicherheit soll durch klare Verantwortlichkeiten gewährleistet werden. Diese Verantwortlichkeiten müssen transparent und unmissverständlich definiert werden. Der ISB und sein Team benötigen alle erforderlichen Ressourcen (Budget, Personal, Zeit). Die oberste Leitungsebene ist im Unternehmen für die Bereitstellung dieser Ressourcen verantwortlich. Somit trägt die Geschäftsleitung die Gesamtverantwortung für die Informationssicherheit. Zwar ist die Informationssicherheit an den ISB delegiert, jedoch kann die Verantwortung nicht an den ISB abgegeben werden.

Der Top-Down-Ansatz für Ihr ISMS
Der Top-Down-Ansatz ist der optimale Weg, um ein ISMS in der Organisation für alle Geschäftsbereiche und Mitarbeiter bindend einzuführen. Die Geschäftsleitung muss das ISMS Projekt in der Organisation beauftragen. Dabei wird eine federführende Person mit dem Projekt betraut. Die im ISMS festgelegten Verfahrensanweisungen und Politiken haben einen Einfluss auf die vorhandene Organisationsstruktur. Letztendlich wird es je nach Unternehmensgröße einen ISB und einen ISM geben. Diese erarbeiten die Sicherheitsziele und Rahmenbedingungen. Die ISO 27001, ISO 27002 und ISO 27005 helfen mit Vorschlägen beim Aufbau der benötigten Leitlinien.
Ersetzt ein ISMS das Datenschutz-Managementsystem?
Ein ISMS hilft hilft auch Datenschutzanforderungen der sicheren Verarbeitung personenbezogener Daten zu berücksichtigen. Dennoch ersetzt ein ISMS kein Datenschutz-Managementsystem (DSMS). Wenn man Informationssicherheit und Datenschutz in einem Regelwerk gemeinsam abdecken will, benötigt man ein integriertes Managementsystem. Dabei sind die technischen sowie organisatorischen Maßnahmen umzusetzen, um die datenschutzrechtlichen Vorgaben (Artikel 25 und Artikel 32 DSGVO) zu erfüllen. Hier können sich Informationssicherheitsbeauftragten und Datenschutzbeauftragten ergänzen. Man sollte aber die Komplexität eines solchen Systems nicht unterschätzen.
Für diese Branchen ist ein ISMS unverzichtbar
Unternehmen können schon ab einem Mitarbeiter ein ISMS gemäß ISO 27001:2022 bei akkreditierten Zertifizierungsstellen (z.B. Tüv Süd, SGS, InterTek) zertifizieren lassen. Geltende rechtliche und regulatorische Anforderungen zwingen immer mehr auch KMUs und Startups zur Einführung eines ISMS. In einigen Branchen ist es sogar eine Grundanforderung um einen Lieferauftrag zu gewinnen. Ausschreibungen fordern daher immer häufiger das Vorhandensein eines zertifizierten ISMS. Die in der Automobilbranche tätigen Unternehmen benötigen ein TISAX-Label. Die Automobilindustrie entwickelte die TISAX Norm als eine eigene Erweiterung der ISO 27001-Zertifizierung. Ziel ist es, dass Hersteller, Zulieferer und Dienstleister eine sichere Lieferkette aufrecht erhalten. Ein ISMS (ISO 27001) ist wichtig für Unternehmen im Bereich SaaS, Softwareentwicklung und im Gesundheitswesen. Diese Unternehmen verarbeiten oft sensible Daten und sind besonderen Risiken ausgesetzt.
Definition: Was ist ein ISMS? Ein Information Security Management System (kurz ISMS) umfasst Regeln, Verfahren, Methoden und Tools, die die Informationssicherheit erhöhen. Ein ISMS ermöglicht es Unternehmen wichtige Daten und Informationen systematisch zu schützen. Dabei werden Vorschriften berücksichtigt und IT-Risiken rechtzeitig behandelt.
Kritische Infrastrukturen (KRITIS): In Deutschland sind Betreiber kritischer Infrastrukturen gesetzlich verpflichtet, ein ISMS gemäß dem IT-Sicherheitsgesetz und den Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu implementieren.
Die wichtigste Richtlinie für das ISO 27001 ISMS ist die Informationssicherheitsrichtlinie.
Die Sicherheitsrichtlinien sollten mindestens einmal im Jahr mit der aktuellen Situation abgeglichen und aktualisiert werden. Auch wenn keine größeren Änderungen oder Vorfälle vorliegen, sollte man auch kleine Ergänzungen vornehmen.