Frequently Asked Question

Umsetzung eines ISMS ... wo fange ich an ?
Last Updated 2 years ago

Schutzbereiche identifizieren

Sie müssen sich darüber klar werden, welche Schutzbereiche Ihr ISMS konkret abdecken soll und muss. Betrachten Sie, welche Informationswerte Sie schützen müssen und über welche Schnittstellen Zugriff darauf möglich ist. Denken Sie hier an eigene Mitarbeiter, Kunden, Lieferanten oder andere Unternehmen und Dienstleister. Analysieren Sie die hier vorliegenden Prozesse. Sie spielen letztendlich eine maßgebliche Rolle.

Zunächst einmal müssen sie den Bereich des ISMS eingrenzen. Mögliche Schutzbereiche sind:

  • Gesamtes Unternehmen
  • Teile der Organisation
  • Einzelne Geschäftsbereiche
  • Wichtige Standorte
  • Einzelne Systeme

Risiken identifizieren und bewerten

Nachdem Sie die Schutzaspekte, die sogenannten Items, identifiziert haben, geht es nun um die Ermittlung der Risiken. Diese müssen Sie nicht nur identifizieren, sondern auch einschätzen.

Dazu finden Sie in den entsprechenden Katalogen mögliche Gefährdungen. Diese wenden Sie auf die jeweiligen Assets an. Neben der Eintrittwahrscheinlichkeit sollten Sie auch betrachten, welche Schadensszenarien beim Eintritt auf das Unternehmen auftreten. Dies können z. B. finanzielle Schäden, Imageverlust oder Personenschäden sein. Auch müssen Sie die Auswirkungen hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit der Assets berücksichtigen. Haben Sie diesen Punkt erledigt, können Sie die Folgen eines Sicherheitsvorfalls für das Unternehmen sehr genau einschätzen.

Maßnahmen und Verantwortlichkeiten

Für jedes Risiko können Sie nun verschiedene Maßnahmen aus dem Maßnahmenkatalog auswählen. Diese Maßnahmen können z. B. dazu dienen, die Eintrittswahrscheinlichkeit zu reduzieren oder den entstehenden Schaden zu verringern.

Häufig sind die Smartphones der Mitarbeiter mit verschiedenen Diensten verbunden, um auf wichtige Dokumente und Kundendaten zugreifen zu können. Ein mögliches Risiko wäre hier der “Verlust eines Smartphones”. Beim Verlust des Geräts könnten Unberechtigte auf die Daten zugreifen. Im schlimmsten Fall können die Daten verändert, verkauft oder anderweitig missbraucht werden. Die Folge wäre ein finanzieller und / oder Imageschaden.

Eine Maßnahme, um das Schadensausmaß zu reduzieren, wäre die Möglichkeit, die Daten auf verlorenen Smartphones aus der Ferne zu löschen. Eine weitere Maßnahme ist der Rollout einer Sicherheitsrichtlinie, die auf allen mobilen Endgeräten 6-stellige PIN-Codes vorschreibt. Dadurch würde die Eintrittswahrscheinlichkeit auch bei Verlust des Geräts deutlich gesenkt werden.

Kontinuierliche Verbesserung (KVP)

Die Maßnahmen festzulegen ist eine Aufgabe. Eine andere ist die Überwachung der Umsetzung. Diese darf nicht nur temporär gegeben sein, sondern muss kontinuierlich erfolgen.

Zentrales Element eines ISMS ist die Schaffung von Prozessen, die eine regelmäßige Überwachung des Fortschritts sicherstellen. Dazu gehört auch eine kontinuierliche Verbesserung des Sicherheitsniveaus.

Für die Umsetzung müssen Sie daher Personen benennen, die für die Umsetzung der jeweiligen Maßnahmen verantwortlich sind. Nach dem klassischen PDCA-Zyklus ( Plan – Do – Check – Act) wird so der Fortschritt der Umsetzung dieser Maßnahmen gemessen. So wird eine kontinuierliche Verbesserung des ISMS erreicht.

Please Wait!

Please wait... it will take a second!