Der Pool an sensiblen Daten in einem Unternehmen befüllt sich immer schneller und oftmals ist kein Fundament für eine strukturierte IT-Security-Lösung vorhanden. Prozesse sind nicht klar definiert und es mangelt an festgelegten Regelungen und Verfahren, um Daten zu schützen. Ein gutes Information Security Management System (ISMS) kann dabei der Retter in Not sein. Mit ihm lässt sich Informationssicherheit beherrschbarer machen und die Attraktivität gegenüber Kunden fördern. Es optimiert die Sicherheit der Daten und stärkt somit das Vertrauen in das Unternehmen.
Der Aufbau eines ISMS
Einmal ein Konzept aufzusetzen, reicht allerdings nicht aus. Die Anforderungen, die an die Informationssicherheit gestellt werden, sind in stetigem Wandel. Deshalb muss auch das ISMS flexibel sein und sich weiterentwickeln. Folgende Schritte sollten bei der Erstellung beachtet werden:
- Risikoanalyse: Ausgangspunkt für alle Entscheidungen ist die individuelle Feststellung der Risiken des jeweiligen Unternehmens
- Strategie- und Zielfindung: Durch das Top-Management wird die Strategie festgelegt und die zu erreichenden Ziele
- IT-Sicherheitsschwachstellenanalyse: Erhebung des aktuellen Status, um Schwachstellen zu identifizieren
- Umsetzungsplan: Festlegung von Sicherheitsmaßnahmen und Zuordnung an die jeweiligen Verantwortlichen
- Konzeptetablierung: Erstellung eines Regelwerks der gelebten Richtlinien und Maßnahmen
- Kontrolle: Überprüfung, ob die bisherigen Schritte umgesetzt wurden und die definierten Risikoziele noch aktuell sind
Bei genauerer Betrachtung des ISMS wird deutlich, dass es sich um einen zyklischen Verlauf handelt, der durch einen Plan-Do-Check-Act Kreislauf dargestellt werden kann. Dabei wird das Top-Management stark eingebunden, formuliert und überprüft die Ziele und eruiert die möglichen Folgen von Informationssicherheitslücken oder -verstößen, was zu einem ständigen Verbesserungsprozess führt.
Die Bestandteile dieses Systems – die Security Policies – sind Richtlinien, die Regeln, Konzepte und Maßnahmen umfassen, mit denen der Sicherheitsanspruch in allen Bereichen erreicht werden soll. Dabei sollten die drei Sicherheitsziele stets vor Augen gehalten werden: Vertraulichkeit, Verfügbarkeit und Integrität.
Eine einzige Security Policy reicht jedoch für einen kompletten Schutz nicht aus. Erst durch die Ergänzung mehrerer, kann in Form eines ISMS die Datensicherheit gewährleistet werden. Basierend auf diesem System haben Unternehmen auch die Möglichkeit eine Zertifizierung zu erlangen, die das Sicherheitsniveau national und international bestätigt. Hierzu zählt das international anerkannte ISO/IEC 27001 Zertifikat und weitere Zertifikate aus der ISO/IEC-27000-Reihe.
Macht das auch für kleinere Unternehmen Sinn?
Ganz egal, ob große oder kleine Unternehmen, alle besitzen schützenwerte Informationen, die durch Cyberkriminelle gefährdet sein können. Der Schutz von Daten sollte bei Unternehmen jeglicher Größe an erster Stelle stehen. Auch wenn kleine Unternehmen meist nicht die nötigen Ressourcen besitzen, ein ISMS im großen Stil aufsetzen zu können, sollten sie dennoch Policies festlegen. Dabei können auch interne oder externe Berater unterstützen.
Bildquelle: Worawut-stock.adobe.com
