ISMS Informationsicherheit Management System ISO 27001

Vorwort

In vielen Branchen müssen Organisationen ein ISM-System einführen und durch den Standard ISO/IEC 27001 nachweisen. ISO/IEC 27001 ist eine internationale Norm für Informationssicherheit.

Das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) ist ein am 25.07.2015 in Kraft getretenes Gesetz der deutschen Bundesregierung.

Mit dem Gesetz sollen die Betreiber besonders gefährdeter Infrastrukturen (sogenannten Kritischen Infrastrukturen) wie Energie, Wasser, Gesundheit oder Telekommunikation verpflichtet werden, Ihre Netze besser vor Hacker-Angriffen zu schützen. Danach sollen die Unternehmen alle 2 Jahre nachweisen, dass sie die Anforderungen noch erfüllen.

Hauptziele

▪ Schutzziele:  Vertraulichkeit + Verfügbarkeit (SLA) + Integrität
▪ BSI-Grundschutz und 27001 = Verfügbarkeit, Integrität und Vertraulichkeit

Aufgaben

▪ Sicherheit des IT-Betriebs

▪ ISO 27001

▪ IT-Grundschutz nach BSI

▪ Notfallmanagement nach BSI

▪ Awareness – Sicherheitsbewusstsein im Unternehmen schaffen

▪ Der ISO 27001-Zertifizierungsprozess

Nutzen

• Senkung der Prozesskosten
• Senkung der Finanzierungskosten
• Senkung der Versicherungsbeiträge
• Senkung von Geschäfts- und Haftungsrisiken
• Steigerung der Wettbewerbsfähigkeit
• Stärkung der Images in der Öffentlichkeit und bei Geschäftspartnern

Rechtliche Rahmenbedingungen

▪ Gesetzliche Anforderungen

▪ Haftung der Rolleninhaber in der Informationssicherheit

▪ Datenschutz und EU-DSGVO

▪ relevante Normen im Überblick

▪ ISO 27001  

▪ BSI Grundschutz  

Angemessenes Niveau der Informationssicherheit lässt sich erreichen durch:

▪ ein abgestimmtes Zusammenspiel zwischen

• technischen Maßnahmen,

• organisatorischen Maßnahmen und

• der Einhaltung rechtlicher und vertraglicher Bedingungen;

▪ den Aufbau eines Informations-Sicherheits-Management-Systems (ISMS).

Informationssicherheit trägt maßgeblich dazu bei

… mögliche Produktivitätsverluste zu verringern;

… Risiken zu reduzieren;

… Gesetze und andere Auflagen einzuhalten;

… Effizienz und Effektivität zu steigern;

… Kosten zu reduzieren.

Compliance

▪ Einhaltung von Gesetzen, Richtlinien, Verhaltensmaßregeln;

▪ Kontrolle der Übereinstimmung dieser Vorgaben mit dem Handeln;

▪ Haftungsvermeidung für Unternehmen, Organe und Mitarbeiter;

▪ Implementierung einer entsprechenden Organisationsstruktur.

IT-Compliance

▪ Einhaltung der Vorgaben in Bezug auf die IT der Behörde bzw. des Unternehmens;

▪ Beachtung anerkannter IT-Sicherheitsstandards (z. B. BSI);

▪ IT-Sicherheitsmanagement/-normen, ISMS (ISO 27000).

DIN ISO 27005

Risikoanalyse ist die systematische Analyse zur Identifikation von Risiken gem. ISO 27005 in der

Informationssicherheit, in Verbindung mit der ISO 27001.

ISMS Informationsicherheit Management System ISO 27001