Was ist ein Information Security Management System?
Unternehmen in Deutschland sind nach dem deutschen IT-Sicherheitsgesetz (IT-SiG) und der europäischen Datenschutz-Grundverordnung (DSGVO) verpflichtet, sensible Informationen zu schützen. Darunter fallen Inhalte wie Videos, elektronische und gedruckte Dokumente, Kundendaten und dergleichen.
Professionelles Informationssicherheitsmanagement gewährleistet, dass die Informationen Ihres Unternehmens geschützt sind und nur berechtigte Personen darauf zugreifen können. Mit einem Information Security Management System (ISMS) sind Sie für den Fall der Fälle gut vorbereitet.
Bei der Implementierung eines ISMS sind bestimmte Standards, Leitlinien und Protokolle zu beachten. Diese leisten wertvolle Hilfestellung, um ein ISMS effizient zu implementieren. Sie haben im Unternehmen noch kein ISMS? Hier erfahren Sie, was dafür notwendig ist, und wie Sie ein ISMS implementieren.
Die Schutzziele der Informationssicherheit
Die Internationale Norm ISO 27000 definiert die wesentlichen Schutzziele der Informationssicherheit:
Der Begriff Informationssicherheitsmanagement steht für alle Maßnahmen, die darauf abzielen, dass die drei Schutzziele gemäß ISO 27000 erreicht werden:
- Vertraulichkeit: Sensible Informationen bleiben vertraulich. Sie werden vor unberechtigtem Zugriff und daher vor möglichem Missbrauch geschützt. Mit Kennwörtern, Verschlüsselung und Kontrolle der Zugriffsberechtigungen schützen Sie die Informationen Ihres Unternehmens.
- Integrität: Falls Unbefugte tatsächlich auf Ihre Daten zugreifen, müssen Sie sich darauf verlassen können, dass die Daten nicht manipuliert oder verändert werden können. Informationssicherheit ist eine wichtige Voraussetzung für die Integrität der Daten. Falls Sie vermuten, dass Daten manipuliert wurden, sollten Sie sie im Ernstfall wiederherstellen können.
- Verfügbarkeit: Berechtigte Nutzer müssen jederzeit auf die Daten, Dienste und Informationen im Unternehmen zugreifen können. Verfügbarkeit gewährleisten Sie, indem Sie regelmäßige Backups durchführen, Nutzern die richtigen Berechtigungen zuweisen und das Unternehmen vor Angriffen schützen, die seine IT-Infrastruktur lahmlegen könnten.
Was ist ein ISMS?
ISMS steht für Information Security Management System und umfasst Richtlinien, Maßnahmen und Verfahren einer Organisation, mit deren Hilfe sie die Schutzziele gemäß ISO 27000 erreicht, Risiken reduziert und im Ernstfall noch arbeiten kann. Wie umfassend ein ISMS ist, hängt von Art und Umfang der Daten ab, die zu schützen sind. Im Allgemeinen basiert ein ISMS auf sechs Säulen:
1. Strategische Planung
Ihr Unternehmen benötigt eine solide Strategie, um Risiken zu minimieren und seine Informationen zu schützen. Skizzieren Sie den Umfang des ISMS und was es leisten sollte, damit die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten gewahrt ist.
2. Steuerung, Risiken und Compliance
Stimmen Sie die Prozesse bezüglich Informationssicherheit auf die Ziele und Bedürfnisse Ihres Unternehmens ab. Stellen Sie sicher, dass das Unternehmen gesetzliche Vorgaben einhält und Risiken durch entsprechende Maßnahmen reduziert.
3. Sicherheitsmaßnahmen
Im Mittelpunkt des ISMS stehen Sicherheitsmaßnahmen: Damit reduzieren Sie das Risiko, dass Unbefugte auf Daten zugreifen oder Daten stehlen. Das ISMS umfasst drei Arten von Maßnahmen:
- Präventive Maßnahmen sollen Zwischenfälle verhindern.
- Korrekturmaßnahmen vermeiden, dass sich bestimmte Zwischenfälle wiederholen.
- Erkennungsmechanismen sollen Zwischenfälle und mögliche Probleme rechtzeitig erkennen.
4. Risikosteuerung im Hinblick auf Dritte
Durch die Steuerung von Risiken, insbesondere durch Dritte, kontrollieren Sie Verhaltensweisen, die sich negativ auf Ihre Informationen oder das Unternehmen als Ganzes auswirken könnten. Externe Software könnte etwa das Risiko von Datenschutzverletzungen erhöhen oder ein Lieferant dem Ruf Ihres Unternehmens schaden.
5. Management des IT-Sicherheitsprogramms
Das IT-Sicherheitsprogramm Ihres Unternehmens umfasst alle Maßnahmen, Aktivitäten, Prozesse und Projekte im Rahmen des ISMS, damit Ihr Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit seiner Daten sicherstellt.
6. Audit-Management
Das Audit-Management gestattet Ihrem Unternehmen, Audits schnell und leicht durchzuführen. So identifizieren Sie etwaige Risiken schnell und können angemessen auf Bedrohungen reagieren.
Warum ist ein ISMS wichtig?
Der unbefugte Zugriff auf die Daten eines Unternehmens kann unangenehme Folgen haben. Hacker könnten Kundendaten abgreifen, die Identität von Kunden stehlen oder die erbeuteten Daten verkaufen. Wenn Unbefugte vertrauliche Pläne für Ihr nächstes großes Produkt finden und es selbst realisieren, entsteht Ihrem Unternehmen ein wirtschaftlicher Schaden.
Datenschutzverletzungen und Datendiebstahl können sich auf einzelne Personen oder das Unternehmen negativ auswirken und die Reputation Ihres Unternehmens erheblich beeinträchtigen. Falls Ihre Daten manipuliert wurden, leidet möglicherweise die Qualität der Dienstleistungen oder Produkte, sodass sich der Ruf des Unternehmens weiter verschlechtert.
Mit einem ISMS verhindern Sie unbefugten Zugriff, schützen die Integrität der Daten und gewähren nur ausgewählten Personen Zugriff auf bestimmte Informationen. Mit einem ISMS minimiert Ihr Unternehmen die Risiken und bleibt potenziellen Hackern und Datendieben stets einen Schritt voraus. Je nach Branche ist Ihr Unternehmen sogar gesetzlich verpflichtet, ein ISMS zu implementieren.
Wer ist am Informationssicherheitsmanagement beteiligt?
Ein erfolgreiches ISMS setzt voraus, dass es alle unterstützen: Führungsebene, Personalwesen, IT-Abteilung, Finanzwesen und Customer Service. Informationssicherheit muss fest in der Unternehmenskultur verankert sein. Der sichere Umgang mit Informationen sollte zudem selbstverständlich sein – in allen Bereichen des Unternehmens und auf allen Ebenen:
- Führungsebene: Mindestens ein Vertreter der Führungsebene ist für das ISMS zuständig, meist der Chief Security Officer (CSO) oder Chief Technology Officer (CTO). Der CSO bzw. CTO ist dafür verantwortlich, dass das System den Standards und geltenden Gesetzen entspricht. Zudem verdeutlicht der CSO bzw. CTO anderen Vorstandsmitgliedern, wie wichtig das ISMS ist, und wirbt dafür, die Vorgaben des ISMS einzuhalten.
- Personalwesen: HR spielt eine entscheidende Rolle, um wichtige Erwartungen in puncto Informationssicherheit zu kommunizieren. Mitarbeiterschulungen wie auch das Onboarding neuer Mitarbeiter gehen auf Informationssicherheit ein. Dadurch ist allen im Unternehmen klar, wie wichtig bestimmte Regeln sind und, dass unter anderem die Installation unzulässiger Software auf Geräten des Unternehmens oder die Mitnahme vertraulicher Unterlagen nicht gestattet ist.
- IT-Abteilung: Die IT gibt die Richtlinien und Schutzmaßnahmen vor, die das Rückgrat des ISMS bilden. Die IT kann das Verhalten der Mitarbeiter überwachen, ungewöhnliche Aktivitäten feststellen und verhindern, dass unberechtigte Software oder Hardware genutzt wird. Zudem kann die IT den Zugriff auf bestimmte Websites blockieren oder Downloads verhindern, um die Daten des Unternehmens zu schützen.
- Finanzwesen: Im Finanzwesen eines Unternehmens liegen sensible Daten vor. Alle Mitglieder im Team sollten die Prozesse und Richtlinien zum Schutz von Informationen kennen. Zudem sind konkrete Maßnahmen erforderlich, um Finanz- und Kontodaten zu schützen und Betrug zu verhindern.
- Customer Service: Erste Anlaufstelle für Kunden ist der Customer Service, auch wenn sie eine Datenschutzverletzung vermuten oder ein Vorfall bekannt wird. Informieren Sie stets Ihren Customer Service zum aktuellen Stand bei der Informationssicherheit. So können Servicemitarbeiter kompetent auf besorgte Anfragen oder Probleme reagieren. So schützen oder rehabilitieren sie die Reputation des Unternehmens nach einem Datenschutzvorfall.
Was ist ein Rahmen für das Management der Informationssicherheit?
Ein Rahmen für das Management der Informationssicherheit gibt Regeln und Leitlinien vor, wie eine Organisation die Vertraulichkeit, Verfügbarkeit und Integrität aller Informationen gewährleistet. Neben der ISO 27000 und verwandten internationalen Normen gibt es weitere Rahmenwerke wie der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte IT-Grundschutz.
Darüber hinaus gibt es weitere Standards und Leitlinien, z. B. den Datensicherheitsstandard der Kreditkartenfirmen (Payment Card Industry Data Security Standard, oder auch PCI DSS). Dieser wurde 2004 von fünf großen Kreditkartenanbietern eingeführt, um Betrug zu verhindern. COBIT ist ein international anerkannter Rahmen für IT-Governance und DIN EN ISO 27799 gibt Leitlinien für der Informationssicherheit im Gesundheitswesen vor.
Wie wird ein Informationssicherheitsmanagementsystem implementiert?
Ein ISMS kann auf unterschiedliche Weise implementiert werden. Der PDCA-Zyklus ist ein gängiger Ansatz dafür. Das Akronym steht für Plan, Do, Check, Act:
- Plan: Ermitteln Sie den Bedarf für ein ISMS und sichern Sie sich die Unterstützung der Führungsebene und wichtiger Abteilungen und Stakeholder. Schon in dieser Phase können Sie eine passende Content-Plattform wählen und Schutzmaßnahmen wie Verschlüsselung und Kennwortschutz vorgeben.
- Do: Etablieren Sie ein System wie die Box Content Cloud und setzen Sie die beschlossenen Schutzmaßnahmen um. Fangen Sie klein an: Wenn Sie sich vergewissert haben, dass das ISMS in einer Abteilung funktioniert, nehmen Sie sich die nächste vor.
- Check: Überprüfen Sie regelmäßig die Wirksamkeit Ihres ISMS. Funktionieren Ihre Maßnahmen und Prozesse? So erkennen Sie frühzeitig Schwachstellen im System und können gegensteuern.
- Act: Setzen Sie die erforderlichen Änderungen um, die sich aus der Überprüfung des ISMS ergeben. Gehen Sie abteilungsweise vor oder rollen Sie die Maßnahmen unternehmensweit aus.
Wiederholen Sie den PDCA-Zyklus, um das ISMS weiter zu optimieren und an die neuesten Technologien und Angriffsmethoden anzupassen. So bleiben Sie Hackern stets eine Nasenlänge voraus.
Die Norm 27001 der International Organization for Standardization (ISO) skizziert die Anforderungen an ein ISMS. Wenn Sie dieses System nach der Norm im Unternehmen implementieren, dürften sämtliche Informationen bestens geschützt sein. Die Norm beschreibt auch die Voraussetzungen für eine Zertifizierung nach ISO 27001.
Die für eine Zertifizierung nach ISO 27001 erforderlichen Schutzmaßnahmen:
- Kryptographie
- Lieferantenbeziehungen
- Physischer Schutz von Gebäuden und Arbeitsumgebung
- Betriebssicherheit
- Richtlinien für die Informationssicherheit
Entdecken Sie das Potenzial der Content Cloud
Mit einer sicheren zentralen Plattform für alle Ihre Inhalte können Sie mit Box den gesamten Content-Lebenszyklus verwalten: Dateierstellung, gemeinsame Bearbeitung, Freigabe, elektronische Unterschrift, Klassifizierung, Aufbewahrung und vieles mehr. Wir erleichtern Ihnen die gemeinsame Arbeit an Inhalten, sei es mit den Teams in Ihrem Unternehmen oder Externen. Durchgängige Sicherheit und Compliance der Enterprise-Klasse sind in unserer DNA verankert. Daher können Sie sich darauf verlassen, dass Ihre Inhalte stets geschützt sind. Angesichts der mehr als 1.500 nahtlosen Integrationen – sowie einer Reihe nativer Funktionen wie Box Sign – bietet die Content Cloud einen zentralen Layer für Ihre Inhalte. Dadurch können Ihre Teams so arbeiten, wie sie möchten.
Die Content Cloud von Box ist ein echter Gamechanger für die gesamte Organisation: Damit können Sie die Effizienz von Workflows und die Produktivität aller Teams steigern. Kontaktieren Sie Box noch heute, und erfahren Sie mehr über seine Vorteile.
Disclaimer: Wir setzen uns stets dafür ein, Produkte und Dienste anzubieten, die sich durch erstklassigen Datenschutz, Sicherheit und Compliance auszeichnen. Dennoch stellen die in diesem Blog enthaltenen Informationen keine Rechtsberatung dar. Wir empfehlen Interessenten und Kunden daher, ihren Sorgfaltspflichtennachzukommen und die Vereinbarkeit mit geltenden Gesetzen selbst zu beurteilen.