IDVS Soforthilfe

Auch wenn Sie leider noch kein Kunde von uns sind:
Wir lassen Sie nie im Regen steh‘n!
Rufen Sie uns jederzeit an, wir helfen gerne!

telefon-icon

0 94 21 / 86 99 780

Was ist ein ISMS?

Ein Informationssicherheitsmanagementsystem (ISMS) ist eine Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern (anzupassen).

In der Praxis lassen sich Ziele und Eigenschaften eines ISMS wie folgt definieren?

1.Verankerung in der Organisation

Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom Topmanagement eindeutig und widerspruchsfrei zugewiesen. Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB).

2.Verbindliche Ziele

Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.

3.Richtlinien

Verabschiedung von Sicherheitsrichtlinien (Security Policies), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren.

4.Personalmanagement

Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.

5.Aktualität des Wissens

Es wird sichergestellt, dass die Organisation über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.

6.Qualifikation und Fortbildung

Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist.

7.Adaptive Sicherheit

Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess)

Die VdS 10000 definiert ein vollständiges ISMS und die darin enthalten Vorgaben und Hilfestellungen für die Implementierung sowie konkreten technischen und organisatorischen Maßnahmen für die Absicherung von IT-Infrastrukturen sind speziell auf kleinere und mittlere Organisationen ausgelegt. Können aber auch ohne Probleme in großen Unternehmen oder Behörden umgesetzt werden.

Die Zielsetzung ist, ein angemessenes Schutzniveau zu gewährleisten, ohne die implementierende Organisation organisatorisch oder finanziell zu überfordern.