In diesem Beitrag zeigen wir Ihnen, warum Sie sich in Ihrem Unternehmen mit dem Thema Informationssicherheit beschäftigen sollten. Wenn Sie diesen Schritt gehen, begeben Sie sich auch bereits auf den Weg zur Umsetzung eines ISMS, also eines Managementsystems für Informationssicherheit. Warum das so ist, erläutere ich in diesem Artikel.
Inhaltsverzeichnis
Auf den Punkt gebracht: Informationssicherheit und ISMS
- Informationssicherheit ist der Schutz der Unternehmenswerte hinsichtlich Verfügbarkeit, Vertraulichkeit und Integrität.
- Ein ISMS steuert die Informationssicherheit, reagiert auf Ereignisse und optimiert den Status permanent.
- Ein ISMS ist in der Regel risikobasiert und schützt die wichtigsten Werte des Unternehmens, die sogenannten „Kronjuwelen“.
- Mit einem zertifizierten ISMS kann man unter Wettbewerbern schon mal punkten. Zudem erfüllt man auch verschiedene Compliance-Anforderungen.
Informationssicherheit vs. ISMS
Definition Informationssicherheit
Die Informationssicherheit bezieht sich auf den Schutz der Verfügbarkeit, Vertraulichkeit und Integrität aller Assets (=Werte) eines Unternehmens.
Definition der Datenbeschützerin
Oft wird Informationssicherheit als Synonym für IT-Sicherheit verwendet. Beide Begriffe meinen aber etwas Unterschiedliches und sollten auf keinen Fall gleichgesetzt werden. In einem Gespräch zeigt sich daher schnell, wer bereits etwas Ahnung in diesem Fachbereich hat.
Definition ISMS – Managementsystem für Informationssicherheit
Gesamtheit aller Prozesse im Unternehmen, die die Verfügbarkeit, Vertraulichkeit und Integrität der Unternehmenswerte sicherstellen. Im Rahmen der kontinuierlichen Verbesserung wird regelmäßig der aktuelle Status der Unternehmenswerte, ihrer Risiken und zugeordneten Maßnahmen erfasst und optimiert.
Definition der Datenbeschützerin
Ist Informationssicherheit also gleichzusetzen mit einem ISMS?
Wer sich beide Definitionen durchliest, merkt schnell, dass sie ziemlich ähnlich klingen. Ist demnach Informationssicherheit gleichzusetzen mit einem ISMS?
Informationssicherheit bildet lediglich einen Status ab, eine Momentaufnahme (egal ob in der Vergangenheit, Gegenwart oder in der Zukunft als Ziel). Das Managementsystem für Informationssicherheit hingegen ist der Weg zur Informationssicherheit. Mit einem ISMS stellt das Unternehmen sicher, dass ein angemessenes Niveau erreicht wird und dieses auch immer verbessert bzw. an neue Anforderungen angepasst wird.
Kann man Informationssicherheit auch ohne ein ISMS erreichen?
Ja, natürlich kann man das.
Aber ohne das Managementsystem (ISMS) fehlt das Werkzeug, die Informationssicherheit im Blick zu behalten und das Niveau zu halten oder zu verbessern. Ohne ISMS hat man nur einen punktuellen Blick auf einzelne Risiken oder einzelne Maßnahmen. Es fehlt die Betrachtung der Gesamtheit.
Ohne einen systematischen Ansatz, wie ihn ein ISMS bietet, fehlt ein Prozess. Ein ISMS liefert wertvolle Unterstützung, Aufwand an den Stellen zu betreiben, an denen für das Unternehmen auch die größten Risiken lauern.
Mehr zum ISMS erfahren Sie in unserem Webinar
Zusammengefasst und wie immer praxisorientiert zeigen wir Ihnen die wichtigsten Punkte und eine mögliche Vorgehensweise zur Implementierung eines ISMS.
4 Gründe, warum ein ISMS Ihrem Unternehmen einen Mehrwert bietet
Kommen wir gleich zum Wichtigsten.
1. Schützen Sie Ihre Kronjuwelen
Ein Begriff, den Sie im Zusammenhang mit Informationssicherheit immer wieder mal hören werden. Ihre „Kronjuwelen“ adäquat zu schützen, heißt, die wichtigsten Werte im Unternehmen zu kennen und diese mit dem angemessenen Aufwand zu schützen (nicht zu viel und nicht zu wenig).
Das bringt uns auch gleich zum nächsten Grund für ein Managementsystem für Informationssicherheit.
2. Risikobasierter Ansatz
Wenn man seine Kronjuwelen kennt, kann man sie ganz gezielt schützen. Sehr häufig erleben wir, dass über alle Werte im Unternehmen derselbe Schutz gekippt wird. Letztendlich heißt das (mein Lieblingsbeispiel), dass der Speiseplan der Kantine ebenso behandelt wird wie die Konstruktionsdaten der neuesten Produktentwicklung. Dies kann positiv oder negativ sein.
Da der Schutz von Werten Geld kostet, ist es wichtig, zu wissen, was im Unternehmen besonders geschützt werden muss. Hier sind natürlich auch die Risiken größer.
Bevor Sie fragen: Nein, Sie müssen nicht für jedes Risiko eine Maßnahme implementieren, die Geld kostet. Die Unternehmensleitung hat immer das Recht zu entscheiden, ob ein Risiko getragen wird – auch ohne weitere Maßnahmen.
3. Wettbewerbsvorteil – besser als der Rest
Als ich mein erstes ISMS mit einem Projektteam implementiert hatte, war das Unternehmen damals eine von nicht einmal 100 Firmen, die in Deutschland ein ISO 27001 Zertifikat an der Wand hängen hatten. Der Antrieb kam aus den eigenen Reihen und wurde nicht von Kundenanforderungen getrieben.
Das ISMS ist ein ganz besonderer Wettbewerbsvorteil, den man sich als Unternehmen auch auf die Fahne (bzw. die Webseite) schreiben darf. Obwohl seit meinem ersten ISMS Projekt inzwischen fast 15 Jahre vergangen sind, ist ein ISO 27001 Zertifikat immer noch nicht so inflationär gestreut wie ein ISO 9001 Zertifikat und damit durchaus etwas besonderes.
Sie heben mit einem ISMS hervor, dass Ihnen in Ihrem Business die Informationen und allgemein die Werte, die Ihnen Ihr Kunde vertrauensvoll in die Hände gibt, gut aufgehoben sind. Dass Ihre Dienstleistung oder Ihr Produkt mehr sind als nur das Ergebnis. Sie schützen im gesamten Prozess die Vertraulichkeit, Verfügbarkeit und Integrität der Kundenwerte.
Heben Sie dies hervor und vermarkten Sie es beim Kunden aktiv als Wettbewerbsvorteil!
Damit gehen wir auch nahtlos in den nächsten Punkt über.
4. Complianceanforderungen erfüllen
Wettbewerbsvorteil und Complianceanforderungen mögen an der ein oder anderen Stelle miteinander verschmelzen.
In immer mehr Branchen wird ein ISMS allerdings schon als Pflichtbestandteil vorausgesetzt. Ganz besonders im Bereich der Automobilindustrie unterliegen Zulieferer und Dienstleister immer mehr dem Druck eines ISMS nach den hohen Anforderungen der VDA ISA / TISAX® oder wenigstens nach ISO/IEC 27001.
Für Sie als Unternehmen ist es quasi die Eintrittskarte ins Geschäft mit neuen Kunden oder wird vielleicht bei Bestandskunden sogar zur Pflicht, wenn Sie weiterhin zusammenarbeiten möchten.
Die Anforderungen zur Umsetzung eines ISMS können sich nach verschiedenen Katalogen richten, die allerdings im Kern immer ähnlich sind. Ein paar Beispiele:
- ISMS nach ISO/IEC 27001
- In der Automobilindustrie hat sich die VDA ISA / TISAX® Anforderung durchgesetzt, die an vielen Stellen auf die ISO/IEC 27001 verweist. Die Gesamtheit der Anforderungen ist allerdings höher als bei der ISO/IEC 27001.
- Die Payment Card Industrie fordert mit dem PCI DSS Katalog auch sehr strikte Umsetzungen.
- Die deutsche Variante des ISMS basiert auf dem IT-Grundschutzkatalog des BSI.
Was ist ein ISMS nicht?
Ein ISMS ist keine Software oder ein IT-Service. Erst als mir ein potentieller Mitarbeiter die Frage stellte, welche Software er denn nun genau beim Kunden installieren solle, wurde mir wieder einmal klar, wie viel Aufklärungsarbeit zu diesem Thema noch nötig ist.
Für die Umsetzung eines ISMS braucht man keine Software. Wenn Sie bereits ein QM-System nach ISO 9001 implementiert haben oder ein anderes Managementsystem, verfügen Sie wahrscheinlich über ein (IT-) System, in dem oder nach dem Sie Ihre Prozesse und Vorgabedokumente (z.B. Mitarbeiterrichtlinien) veröffentlichen und steuern. Mit einem zusätzlichen ISMS sollten Sie unbedingt an ein bestehendes Managementsystem andocken. Erfinden Sie das Rad nicht neu und adaptieren Sie einfach bestehende Prozesse (z.B. interne Audits, Managementbewertung,….).
Aus meiner Erfahrung ist es wichtig, dass sich das Unternehmen erst an die Prozesse des ISMS gewöhnen muss und diese für sich in der richtigen Art und Weise implementieren muss. Setzt man von Anfang an bei der Implementierung des Managementsystems auf eine Software, ist man dieser auch ausgeliefert. Dann passiert es, dass man sich mit dem Prozess nach der Software richtet und nicht primär nach den Bedürfnissen des Unternehmens.
ISMS Software: Ja oder Nein?
Dazu hab ich eine ganz klare Meinung. Wenn Sie beginnen, ein ISMS zu implementieren, starten Sie ohne ISMS Software. Integrieren Sie das ISMS in bestehende Managementsysteme. Das halte ich für ganz wichtig.
Leben Sie das ISMS und entscheiden Sie dann nach einem oder zwei Jahren, ob Ihnen im täglichen Doing eine ISMS-Software helfen könnte.
Eine Software können Sie erst sinnvoll auswählen, wenn Sie wissen, bei welchen Schritten und Prozessen Sie die Software unterstützen oder entlasten soll. Wenn Sie ein ISMS implementieren möchten, wissen Sie noch nicht, wie es sich bei Ihnen im Unternehmen einfügt. Nach welchen Kriterien wollen Sie also an dieser Stelle eine Software auswählen?
Wie führt man ein Managementsystem für Informationssicherheit im Unternehmen ein?
Die wichtigsten Schritte und einen groben exemplarischen Projektplan haben wir Ihnen in einem eigenen Blogbeitrag zusammen gefasst. Hier geht’s zum Artikel.
Mehr zum ISMS erfahren Sie in unserem Webinar
Zusammengefasst und wie immer praxisorientiert zeigen wir Ihnen die wichtigsten Punkte und eine mögliche Vorgehensweise zur Implementierung eines ISMS.
Warum haben Sie ein ISMS im Unternehmen eingeführt oder planen dies zu tun?
Wir freuen uns über Ihre Rückmeldung in einem Kommentar zu diesem Beitrag.
TISAX® ist eine eingetragene Marke der ENX Association. Die Datenbeschützerin Regina Stoiber GmbH steht in keiner geschäftlichen Beziehung zu ENX.