Testen

Webcast

Kontakt

Login

 

ISMS ISO
in 15 Tagen

Die Lösung, die Ihnen einen Leitfaden bereitstellt

Kostenlose Testversion herunterladen

Zum Webcast anmelden

Was ist ein Information Security Management System (ISMS)?
ISMS Definition

Die Abkürzung ISMS steht für Informations-Sicherheits-Management-System und ist der Oberbegriff für genormte, zertifizierte Verfahren bei der Absicherung von Informationen, Daten und IT-Systemen mittels einer ISMS Software.

Für Verwirrung in der Definition von ISMS sorgt oftmals die Verwendung des Begriffs "System". Doch ISMS ist kein Softwareprodukt, es ist ein in ISO 27001 (irrtümlicherweise auch oftmals bezeichnet als ISO 270001) normierter Katalog an unterschiedlichste Anforderungen an eine betriebliche IT, wie z.B. Verwaltung von unternehmensspezifischen Sicherheits-Richtlinien (Security-Guidelines) oder Prozessen im Bereich Risikomanagement/Notfallplanung.

Bei der der Entscheidung für eine bestimmte ISMS-Software gemäß ISMS ISO und der von ihr zur Verfügung gestellten ISMS Tools, gilt es stets zu unterscheiden zwischen den beiden Bereichen Informations-Sicherheit und IT-Sicherheit, die von den IT-Verantwortlichen oftmals angesehen werden als die zwei Seiten einer Medaille. Doch die Unterschiede sind gross:

IT-Sicherheit

Die IT-Sicherheit fällt konzeptionell und organisatorisch in den Bereich der IT-Abteilungen. Beschränkten sich die Aufgaben der IT-Verantwortlichen früher vornehmlich auf das Installieren von Software und den reibungslosen Datenverkehr innerhalb des Unternehmens-Netzwerks, so haben sich die Aufgaben im Zeitalter von Cyber-Angriffen stark verlagert in Richtung Sicherheit.

Verschlüsselungs-Verfahren (z.B. beim eMail-Versand), Erkennung von Hacker-Angriffen (Intruder-Detection), Abwehr von Schadsoftware und Schwachstellen-Analyse der IT-Infrastruktur sind nun neue, anspruchvolle Aufgabenfelder der IT-Abteilungen beim Aufbau eines effektiven ISMS.

Informationssicherheit

Nicht nur durch die IT-Systeme macht sich ein Unternehmen verwundbar - auch jeder Mitarbeiter stellt aus Sicht eines ISMS ein Sicherheitsrisiko dar.
Das Hauptaugenmerk bei der Informations-Sicherheit liegt daher mehr auf dem menschlichen Faktor und muss umgesetzt werden von sämtlichen Abteilungen. Angefangen bei den einzelnen Unternehmensbereichen bis hoch zur Unternehmensleitung muss das Verantwortungs-Bewusstsein geschärft werden für scheinbar kleine Entscheidungen, die jedoch grosse Auswirkungen haben können:

  • Werden Unterlagen in Papierform geschreddert oder einfach mit dem Hausmüll entsorgt?
  • Werden Anhänge in eMails stets geöffnet oder vorher auf Malware und "Phishing Links" untersucht?
  • Sind in den Office-Programmen standardmässig Makros aktiviert?
  • usw.

Mit regelmässigen Schulungen des hauseigenen ISMS-Beauftragten gilt es die Belegschaft für die Informationswerte die Prozesse des Unternehmens zu sensibilisieren.

CONTECHNET unterstützt Sie bei Planung und Einführung Ihres individuellen ISMS

Aufbau und Umsetzung einer ISMS-Lösung sind ein hochkomplexes Thema und die einzelnen Sicherheitsstufen unterscheiden sich personell und finanziell. Unsere Sicherheitsexperten sind seit vielen Jahren führend in Konzeption und Implementierung individueller Branchenlösungen im Bereich IT-Security-Suites. Für jedes Unternehmen finden wir das richtige Sicherheitsniveau.

Frequently Asked Questions
(FAQs)

Was bedeutet ISO 27001?

ISO 27001 (oder auch: ISO/IEC 27001) bezeichnet die weltweit anerkannte Norm eines Informations-Sicherheits-Management-System (ISMS).

Die ISO 27001 definiert, in Form einer Anforderungsliste (Controls), die exakten Voraussetzungen welche ein ISMS zu erfüllen hat.

Wie läuft eine ISO 27001 Zertifizierung ab?

Voraussetzung für die Funktion eines ISMS-Beauftragten (auch: ISMS-Auditor) im Unternehmen ist die bestandene ISO 27001 Zertifizierung.

Sie umfasst Schulung und Prüfung einer Einzelperson in Sicherheitsfragen und belegt, nach erfolgreicher Absolvierung, einen qualifizierten Kenntnisstand bezüglich unterschiedlicher IT-Sicherheitsaspekte.

Auf welche Bereiche lässt sich die ISO/IEC 27001 anwenden?

Hauptaugabenfelder der ISO 27001 sind:

• Anforderungen und Zielsetzung im Bereich Informationssicherheit

• Abschätzung und Managing von Sicherheitsrisiken

• Aktualisierung und Implementierung neuer Informations-Sicherheits Konzepte.

Wer benötigt ISO 27001?

Vorweg: Es gibt keinen gesetzlichen Zwang zur Verwendung eines Informations-Sicherheits-Management-Systems (ISMS).

Daten- und IT-Sicherheit liegen jedoch im ureigensten Interesse eines jeden Unternehmens. Immer öfter es sind jedoch auch externe Faktoren, etwa durch einen Kooperationspartner, Verband oder Kammer, die den Anstoss zu einer ISO 27001 Zertifizierung geben.

ISMS nach DIN ISO/IEC
mit INDITOR® ISO

Die Lösung INDITOR® ISO unterstützt bei der Einführung eines Informationssicherheits-Managementsystems (ISMS) gemäß der ISO/IEC 27001. Vielfältige Funktionen leiten durch die Implementierung und vereinfachen somit die Einführung. Die Normtexte sind um nachvollziehbare und einfach formulierte Umsetzungsempfehlungen ergänzt. Diese ermöglichen eine zeiteffiziente Dokumentation der geforderten Maßnahmen. Ein zentral gesteuertes Risikomanagement dient als weitere Hilfestellung: Assets, die demselben Risiko zugeordnet sind, lassen sich in Gruppen zusammenfassen. Eine Risikoanalyse findet damit pro Gruppe statt. Aufgaben zur Risikobehandlung können erstellt und den Assets zugeordnet werden. Das Aufgabenmanagement in der ISMS-Software gibt einen Überblick über die angelegten Aufgaben und zeigt den Fortschritt der Bearbeitung an.

Die gemeinsame Datenbasis für Informationssicherheit, Notfallplanung und Datenschutz ermöglicht die einfache Nutzung von einmal angelegten Unternehmensdaten wie Prozessen, Personal und Infrastruktur.

Weitere lizenzfähige Kataloge: ISO 27019, ISO 9001, B3S, VDS-ISA, VAIT, BAIT, IT-Sicherheitskatalog, VdS 10000.

isms-tool
isms-tool
isms-tool
isms-tool
isms-tool
isms-tool

Ihre Vorteile

strukturiert b

Strukturiert
Klare Vorgehensweise wird durch die Software vorgegeben

effizient b

Praxisorientiert
Abbildung verschiedener Kataloge wie ISO 27019, ISO 9001, VDS-ISA, VAIT, BAIT, IT-Sicherheitskatalog, VdS 10000.

aktuell b

Aktuell
Aktualisierung der Daten mit nur einem Mausklick

schutz

Ergiebig
Schutzbedarfsvererbung vom Prozess bis hin zur Anwendung durch die dargestellten Abhängigkeiten 

verständlich b

Verständlich
Anforderungen der ISO-Norm sind um Hilfestellungen ergänzt

verlässlich b

Zuverlässig
Zentrales und integriertes Risikomanagement zur einfachen Risikoanalyse, -bewertung und -behandlung

mass b

Passgenau
Risikomethode lässt sich individuell anpassen

uweit b

Unternehmensweit
Umfassendes Aufgabenmanagement zur Bearbeitung der Aufgaben

ISMS nach DIN ISO/IEC mit INDITOR® ISO

  • Schritt 1 | AnforderungskatalogAnforderungen und Maßnahmen aus der ISO/IEC 27001 sind um Umsetzungstipps und Hilfestellungen ergänzt. Kataloge wie der ISO/IEC 27002 können verknüpft werden.
  • Schritt 2 | AssetmanagementAnlegen von Assets (Unternehmenswerte) wie Prozesse, Personal und Infrastruktur; die Daten lassen sich bei der Integration weiterer CONTECHNET-Lösungen nutzen.
  • Schritt 3 | Schutzbedarfsfeststellung Analyse der Schadensauswirkung anhand von Schadensszenarien für die einzelnen Assets.  
  • Schritt 4 | Risikoanalyse und -bewertungBewertung der Eintrittswahrscheinlichkeit verschiedener Risikoszenarien. 
  • Schritt 5 | RisikobehandlungErstellung von Aufgaben und Maßnahmen zur Behandlung von Risiken, welche einen höheren Risikowert als das Akzeptanzlevel aufweisen.
  • AuditmanagementAbgleich von bereits umgesetzten Sicherheitsmaßnahmen mit den Anforderungen der ISO-Norm, um das erreichte Sicherheitsniveau zu identifizieren und Verbesserungsmöglichkeiten aufzuzeigen.

Weiteres Infomaterial

video b

Videos

inditor  softwareloesung