ISMS auf Basis ISO27001 und ISIS12

Ein Information Security Management System (ISMS, engl. für „Managementsystem für Informationssicherheit“) ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern (Quelle: Wikipedia)

Während andere Managementsysteme wie insbesondere das Qualitätsmanagementsystem aber auch die Arbeitssicherheit in vielen Unternehmen und Behörden schon lange Einzug gehalten haben, wird die Notwendigkeit zur Einführung eines ISMS erst in jüngerer Zeit erkannt.

Instructions ISMS
certified

Durch die zunehmende Abhängigkeit von Unternehmen und Behörden von funktionierenden IT-Systemen rückt deren Verfügbarkeit immer mehr in den Fokus der Verantwortlichen. Diese Verfügbarkeit sicherzustellen, wird zu einem der wichtigsten Unternehmensziele, da ohne IT-Systeme viele Unternehmen in kürzester Zeit in ihrer Existenz gefährdet sind.

Für die meisten Unternehmen und Behörden gibt es keine Verpflichtung zur Einführung eines ISMS. Dazu verpflichtet sind zum jetzigen Zeitpunkt z.B. Betreiber einer sogenannten kritischen Infrastruktur, wie zum Beispiel Energieversorger. Auch sind alle Behörden des Bundes und der Länder bis zum Stichtag 31. Dezember 2018 aufgrund der Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung des IT-Planungsrates dazu verpflichtet ein ISMS eingeführt zu haben.

Kommunalen Behörden empfiehlt der IT-Planungsrat die Vorgaben für Bund und Länder zu übernehmen. Darüber hinaus ergibt sich aus einigen Landesgesetzen auch für Kommunen eine Verpflichtung zur Einführung eines ISMS.

Aber auch allen Unternehmen, die keine Verpflichtung zur Einführung eines ISMS haben, profitieren von seiner Einführung:

  • Regelmäßig gehen Fälle durch die Presse in denen Behörden und Unternehmen in zum Teil existenzbedrohende Weise Ziel von Hackern wurden.
  • Immer mehr Unternehmen und Behörden fordern von ihren Lieferanten ein zertifiziertes ISMS. In der Automobilindustrie wird Tisax zum Standard für Zulieferer. Aufträge werden nicht mehr an Unternehmen vergeben, die kein ISMS haben. Die Teilnahme an öffentlichen Ausschreibungen wird immer häufiger von der Existenz eines ISMS abhängig gemacht.
  • Von Auftragsverarbeitern im Sinne der Datenschutzgrundverordnung EU wird häufig ein ISMS verlangt.
  • Banken bewerten Kreditrisiken bei Kunden ohne ISMS höher.
  • Versicherungen geben Nachlässe auf Prämien, wenn ein ISMS eingeführt wurde.
  • Die gesetzlichen Bestimmungen zur IT Sicherheit werden immer schärfer.

Ein Informationssicherheitsmanagementsystem kann nach ISO 27001 zertifiziert werden. Basis ist dabei in der Regel die ISO 27002 oder der BSI-Grundschutz. Unternehmen und Behörden, die den Aufwand einer Zertifizierung nach ISO 27001 zumindest im ersten Schritt vermeiden wollen, können auch eine Zertifizierung nach ISIS12 oder VDS 3473 anstreben und damit ein vereinfachtes aber dennoch wirksames ISMS einführen.

Senpro IT berät sie bei der Wahl eines geeigneten Systems und unterstützt sie bei seiner Einführung.

Logo ISIS12