ISMS – Zwischenzeitlich auf der Tagesordnung vieler Unternehmen
Was genau ist unter einem ISMS (Informationssicherheits-Managementsystem) zu verstehen und warum sind Aufbau und Einführung im Unternehmen so essentiell?
Zunächst eine kleine Einführung ins Thema. Unter einem ISMS versteht man ein im Unternehmen verankertes Verfahren mit welchem Informationen (speziell personenbezogene Daten) geschützt werden sollen. Dieses Verfahren beinhaltet erforderliche Richtlinien und etabliert die hierfür nötigen Prozesse, die eine Informationssicherheit im Unternehmen regeln und eine dauerhafte Kontrolle und Verbesserung möglich machen. Risiken werden somit aufgedeckt und mittels entsprechender technischer und organisatorischer Maßnahmen kontrolliert.
Informationssicherheit: Das „große Ganze“?
Wie ist Informationssicherheit in den Gesamtkontext Datenschutz und Datensicherheit und IT-Sicherheit einzuordnen? Datenschutz schützt grob gesagt die Privatsphäre des Menschen, Datensicherheit befasst sich dagegen mit dem Schutz von Daten, auch ohne dass diese einen Personenbezug aufweisen müssen. Informationssicherheit schlussendlich umfasst die Sicherheit von digitalen und analogen Informationen mit und ohne Personenbezug und ist damit eigentlich der umfassendste Begriff in diesem Kontext. Denn auch die IT-Sicherheit kann als Teil der Informationssicherheit angesehen werden, da sie sich speziell mit der Sicherheit elektronisch gespeicherter Informationen und Systeme befasst.
Art. 32 DSGVO
In Art. 32 DSGVO ist definiert, dass ein – dem Risiko angemessenes – Schutzniveau für personenbezogene Daten sichergestellt sein muss. Dies betrifft u.a. Art, Umfang und Zweck der Verarbeitung von Daten im Unternehmen, den Stand der Technik, Kosten und Eintrittswahrscheinlichkeiten sowie Risiken für die Betroffenen.
Organisatorische und technische Maßnahmen sind erforderlich, die die Vertraulichkeit und Sicherheit der Daten nicht nur definieren, sondern auch regelmäßig prüfen und bewerten und wenn nötig anpassen. Artikel 32 DSGVO erfordert daher gewissermaßen die Etablierung eines Systems zur Sicherheit von Informationen und Daten oder auch die Einführung eines Informations Sicherheits Management Systems (ISMS).
Verantwortliche der Informationssicherheit im Unternehmen?
Aufbau und Implementierung des Informations Sicherheits Management Systems sind beim Top Management plaziert. Dort liegt die strategische Verantwortung für Risikoentscheidungen und die Sicherheit, die den Fortbestand des Unternehmens gewährleisten. Um das Thema zu delegieren wird häufig wird ein Informationssicherheits-Manager (Chief Information Security Officer (CISO) oder Chief Information Security Manager (CISM)) ernannt, der die Aufgaben des Aufbaus, der Implementierung, Steuerung und Überwachung des Management Systems übernimmt. Ein Informationssicherheits-Beauftragter (ISB, IT-SiBe) betreut – meist in größeren Unternehmen – die operative Umsetzung und unterstützt den CISO/CISM bei Konzepterstellung, Mitarbeiterschulung etc.
Nicht zu verwechseln sind beide Positionen mit dem IT-Sicherheitsbeauftragten, der sich in der Regel um das spezielle Feld der digitalen Verarbeitung von digitalen Informationen kümmert.
Schritte zum ISMS
Aufbau und Einführung eines ISMS sind spannend und fordern Unternehmen, Management und Mitarbeiter gleichermaßen. Die Motivation ist vielseitig und reicht von internen Gründen über Kundenanforderungen und gesetzliche Regelungen bis hin zu regulatorischen Vorgaben. Informationssicherheitsmanager und -beauftragter sind die Verantwortlichen und im Falle einer Zertifizierung auch die Ansprechpartner der Auditoren. Da es sich um ein lebendes sich immer weiter entwickelndes System handelt, erfordert es die dauerhafte Einbindung von Ressourcen auf allen Unternehmensebenen. Es entstehen initiale Kosten beim Aufbau und der ersten Einführung, aber auch laufende Kosten des Betriebs des Systems.
Gibt es bereits ein Qualitätsmanagementsystem nach ISO 9001, dann lassen sich Kosten minimieren und Ressourcen teilen.
Wir von ePrivacy unterstützen bereits eine Vielzahl von Unternehmen beim Aufbau ihres individuellen ISMS.
Melden Sie sich gerne bei uns, wenn Sie Fragen zum Thema haben Kontakt.
Möglichkeiten einer Zertifizierung der Informationssicherheit
Ist das ISMS erst einmal aufgebaut und etabliert, so kann es einer Zertifizierung nach ISO 27001 Standard unterzogen werden. Dabei wird nachgewiesen, dass Verfahren und Regeln aufgestellt wurden (Richtlinien, Prozesse usw.), die eine Informationssicherheit dauerhaft – im Rahmen eines kontinuierlichen Prozesses – definieren, steuern überwachen und verbessern.
Eine Zertifizierung ist sicherlich das „Sahnehäubchen“ eines ISMS, kann aber jederzeit auch zu einem späteren Zeitpunkt angestrebt werden. In jedem Fall ist es erst einmal sinnvoll, das System entsprechend der geltenden Anforderungen aufzubauen, um sich so schon einmal einen Wettbewerbsvorteil zu verschaffen.
Mit unserer in Kürze akkreditieren Gesellschaft ePrivacycert GmbH werden wir künftig dann das Gütesiegel ISO 27001 anbieten und diese Zertifizierungen für Sie durchführen können.
Für weitere Informationen stehen wir Ihnen jederzeit schon heute zur Verfügung.
Ihr contact zu ePrivacy:
https://t5baa4d95.emailsys1a.net/c/107/4706925/4221/0/11200275/453/299229/7b85f685f9.html