- Information Security Management System
-
Das Information Security Management System (ISMS, engl. für „Managementsystem für Informationssicherheit“) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.
Der Begriff wird im Standard ISO 17799 verwendet. ISO/IEC 27001 definiert ein ISMS. Der deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.
Inhaltsverzeichnis
IT-Grundschutz-Kataloge
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit den IT-Grundschutz-Katalogen (ehemals IT-Grundschutzhandbuch) einen Katalog herausgegeben, der einem Unternehmen bei der Einhaltung ausgearbeiteter Regeln unter die Arme greifen soll. Seit 2006 sind die IT-Grundschutz-Kataloge an die internationale Norm ISO/IEC 27001 angepasst. Für Deutschland kann das Vorgehen nach diesem System als Quasi-Standard angesehen werden.
Das BSI legt dabei besonderen Wert auf die drei Bereiche Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
Allgemeine Ansätze
Informationssicherheit ist meist als Aufgabe der Leitung einer Organisation oder eines Unternehmens definiert und sollte nach einem Top-Down Ansatz organisiert sein. Insbesondere die Verabschiedung von Informationsschutz- und Sicherheitsrichtlinien (Security Policy) ist Aufgabe des obersten Managements. Die Ausarbeitung dieser Policy wird meist an einen Mitarbeiter delegiert. Neben dem Datenschutzbeauftragten als Kandidaten für diese Aufgabe wird ggf. auch ein Posten als IT-Sicherheitsbeauftragter oder eine IT-Sicherheits-Gruppe eingesetzt. Danach ist die Überwachung ihrer Einhaltung innerhalb der Organisation die Aufgabe.
Häufig befindet sich eine Beschreibung der Datensicherheit in einem Datenschutzkonzept oder Sicherheitskonzept und umfasst dabei auch das Sicherungskonzept.
IT-Sicherheitsbeauftragter
Der bereits erwähnte IT-Sicherheitsbeauftragte (ITSB) wird vom Vorstand/Geschäftsführer des Unternehmens bestellt. Seine Auswahl sollte anhand folgender Kriterien erfolgen
- eine deutliche Affinität zur IT haben
- allgemeines Vertrauen genießen
- Erfahrung in Projektarbeit besitzen
- die Stelle besetzen wollen und nicht müssen
- direkt dem Vorstand/Geschäftsführer unterstellt werden
- mit ausreichenden zeitlichen und finanziellen Mitteln ausgestattet sein.
Der ITSB ist Ansprechpartner für sämtliche Fragen der IT-Sicherheit und sollte auch bei Entscheidungsfindungs- und Auswahlprozessen in Sachen Software, IT-Struktur, Neubau und vergleichbarem hinzugezogen werden.
Weblinks
- BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS (PDF-Datei; 504 kB)
Wikimedia Foundation.
