MENU
  1. Bildung
  2. Wissen kompakt
  3. Qualitätsmanagement
  4. So funktioniert ein ISMS

Beitrag vom 08.07.2020

Informationssicherheit managen

Die Anforderungen an die Datensicherheit und IT-Security in Unternehmen sind hoch. Managementsysteme nach anerkannten Standards helfen sie zu erfüllen.

Konstruktionszeichnungen von Prototypen, Kalkulationsunterlagen und Marktstrategien: Der Schutz vertraulicher Informationen ist für Unternehmen existenziell. Denn geraten Betriebsgeheimnisse in die falschen Hände, etwa in die eines Wettbewerbers, kann dies erheblichen Schaden anrichten – bis hin zum Ruin.

Viele Unternehmen nutzen spezielle Managementsysteme, um die Informationssicherheit zu gewährleisten – auf Englisch: „Information Security Management System“ (ISMS). Vorsicht geboten im Umgang mit sensiblen Daten ist aber nicht nur innerhalb des eigenen Unternehmens, sondern auch bei Zulieferern. Für Informationssicherheit in der Lieferkette in der Automobilindustrie beispielsweise steht das TISAX-Label (Trusted Information Secuity Assessment Exchange): Die Auszeichnung verleiht der Verband der Automobilindustrie (VDA), die Anforderungen sind im Prüfkatalog ISA (Information Security Assessment) festgelegt.

Was sind Ziele der Informationssicherheit?

Per Gesetz vorgeschrieben ist ein ISMS zwar nur für kritische Infrastrukturen wie im Energiesektor, dem Finanzwesen oder der Telekommunikation. Doch auch immer mehr Unternehmen anderer Branchen erkennen die Vorteile​​​​​ oder wollen Kunden bedienen, die bei ihren Lieferanten ein ISMS voraussetzen.

Das ISMS soll vor allem drei Sicherheitsziele erreichen:

  • Vertraulichkeit: Nur befugte Personen haben Zugriff auf die Informationen. Sonst könnten Hacker zum Beispiel Wirtschaftsspionage betreiben, Kreditkarten-Informationen missbrauchen oder Identitätsdaten stehlen.
  • Integrität: Die Informationen wurden nicht manipuliert. Dabei könnte es beispielsweise zu Fehlbestellungen, falschen Analyse-Ergebnissen oder Produktionsfehlern kommen.
  • Verfügbarkeit: Die Informationen stehen bereit, wenn man sie benötigt. Andernfalls könnten etwa Waren nicht ausgeliefert werden oder schlimmstenfalls ganze Betriebe stillstehen.

Geeignete Maßnahmen, um diese Ziele zu erreichen, finden sich in der international gültigen ISO-Normenserie 27000 sowie in den IT-Grundschutz-Katalogen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Eine wichtige Maßnahme ist das Etablieren eines ISMS. Die Anforderungen dafür definiert die ISO 27001-Norm, an der sich auch das TISAX-Modell orientiert.

Was ist Informationssicherheitsmanagement?

Das Informationssicherheitsmanagement legt Regeln und Methoden fest, mit denen sich die Informationssicherheit in einer Organisation gewährleisten, überprüfen und kontinuierlich verbessern lässt. Diese gesammelten Daten sind das ISMS: eine Art Handbuch, das es jedem einzelnen Mitarbeiter ermöglichen soll, sämtliche Informationen an seinem Arbeitsplatz sicher zu behandeln.

Hierzu müssen die Beauftragten – meist die Qualitäts- oder IT-Verantwortlichen eines Unternehmens – zunächst die Risiken für die Informationssicherheit ermitteln. Das können potenzielle Cyber-Angriffe sein, etwa durch Schadprogramme auf firmeneigenen Computern, aber auch Bedrohungen aus der realen Welt wie gescheiterte Software-Updates, Umweltkatastrophen oder menschliches Versagen.

Schwachstellen erkennen, Risiken bewerten

Natürlich werden sich nie alle Risiken beseitigen lassen. Für einen angemessenen Schutz müssen die Verantwortlichen daher die verschiedenen Risiken bewerten und priorisieren: Welche Prozesse sind für das Unternehmen besonders wichtig? Welche Schwachstellen haben sie? Wie groß ist das Risiko, dass diese ausgenutzt werden? Und welchen Schaden kann das anrichten?

Mögliche organisatorische und technische Maßnahmen sind dann beispielsweise Zugangskontrollen zu Gebäuden und Firewalls. Wichtig sind aber auch Schulungen zur IT-Security, um Mitarbeiter zu sensibilisieren: Der Mensch gilt als die größte Schwachstelle für die Informationssicherheit in Unternehmen. Cyber-Kriminelle versuchen das immer wieder gezielt auszunutzen – etwa mit Phishing-Mails, die Anwender dazu auffordern, Login-Daten preiszugeben oder Malware auf ihrem PC zu installieren.

Prozesse etablieren – und Mitarbeiter qualifizieren

Ein ISMS nach ISO 27001 legt zudem klare Verantwortlichkeiten, Kommunikationswege und Abläufe fest. Es wird von einer unabhängigen Zertifizierungsstelle wie den TÜV-Mitgliedern geprüft, ist aber nie abgeschlossen: Die Unternehmen müssen ihre Schutzmaßnahmen kontinuierlich verbessern, weiterentwickeln und erneut überprüfen in einem unendlichen Kreislauf – dem PDCA-Zyklus, bekannt aus dem Qualitätsmanagement.

Eine wichtige Voraussetzung für ein ISMS ist daher auch entsprechend qualifiziertes Personal. Die TÜV NORD Akademie bietet berufsbegleitende Fortbildungen für Management- und IT-Beauftragte an. Darunter sind auch Seminare, die speziell unterstützen beim Auditieren eines ISMS nach den Anforderungen der ISO 27001-Norm und des TISAX-Standards für die Automobilindustrie und bei der Implementierung eines ISMS nach den genannten Anforderungen.

Hat Ihnen der Artikel gefallen?

Entdecken Sie jetzt unsere Themenwelten! Hier finden Sie spannende Fachbeiträge, Experteninterviews und vieles mehr. 

Das könnte Sie auch interessieren:

Alle unsere Themenwelten im Überblick finden Sie in Wissen kompakt.

Unsere Empfehlungen für Sie

Seminar

Wissensupdate zum ISM

Ziel des Seminars ist es, einen aktuellen Überblick über geänderte und neue Anforderungen an die Informationssicherheit zu geben.
Zum Seminar
Professional Engineer Works on a Computer with a 3D CAD Software and Tests the Electric Car Chassis Prototype with Wheels, Batteries and Engine Standing in a High Tech Development Laboratory.
Seminar

Management-Audits – ISMS

Hier lernen Sie, wie Sie relevante Kennzahlen und -daten Ihres ISMS identifizieren und bewerten können - entsprechend den Anforderungen ISO 19011, ISO/IEC 27001 und TISAX/VDA-ISA
Zum Seminar
Seminar

TISAX-Zertifizierung – ISMS

Erfahren Sie wie ein ISMS implementiert wird, gemäß den Normen ISO 9001 und IATF 16949 sowie VDA-ISA. Nutzen Sie die Chance ihr Unternehmen mit dem begehrten TISAX-Label auszeichnen zu lassen.
Zum Seminar
Seminar

Beauftragter für Customer Specific Requirements (CSR)

Sie erwerben Sie die notwendigen Kompetenzen, um kundenspezifische Anforderungen zu erkennen, zu interpretieren und diese im eigenen Managementsystem umzusetzen.
Zum Seminar

Sprechen Sie mich gerne an

Silke Liehr

Silke Liehr

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Qualitätsmanagement
Am TÜV 1, 30519 Hannover

+49 511 998-62087
Fax : +49 511 998-62075

sliehr@tuev-nord.de

Diese Seite weiterempfehlen