Was versteht man unter einem ISMS / IT-RM?

Die Bemühungen einer Unternehmung, die IT-Sicherheit zu behandeln, umfassen eine Vielzahl von Aktivitäten, welche sich über unterschiedliche Aufgabenbereiche erstrecken. Es gilt:

  • alle das Unternehmen betreffende IT-Risiken systematisch zu erfassen, zu bewerten und gegebenenfalls Maßnahmen zur Minimierung dieser Risiken abzuleiten
  • alle Sicherheitsthemen leicht erfassbar darzustellen und alle Aktivitäten, die gerade durchgeführt werden um die Sicherheitsstruktur zu verbessern aufzulisten und zu überwachen.
  • eine Struktur zu etablieren, die sicherstellt, dass einmal gewonnene Ergebnisse qualitativ erhalten bleiben.

Ein Informationssicherheits-Managementsystem (ISMS) ist somit eine strukturierte Darstellung und Zusammenfassung aller Verfahren und Regeln zur Definition, Steuerung, Kontrolle und Aufrechterhaltung der IT-Sicherheit und wird durch ein IT-Risikomanagement und ein internes IT-Kontrollsystem (IKS) ergänzt.

ISMS

Projektinhalte

Die Erstellung eines ISMS umfasst folgendes:

  • Aufbau eines ISMS-Darstellungsmodelles
  • Definition aller IT-Sicherheitsthemen (=Merkmale) und deren Erfassung im ISMS-Modell
  • Festlegung des gegenwärtigen Zustandes jedes Themas (IST-Reifegrad) und eines möglichen Zielzustandes (SOLL-Reifegrad)
  • Erstellung eines IT-Risikomodelles und initiale Bewertung der IT-Risiken
  • Abbildung der akut gefundenen IT-Risiken im ISMS
  • Erarbeitung eines Maßnahmenkataloges zur Bewältigung dieser Risiken
  • Definition eines benötigten IKS
  • Erstellung der benötigten Basisrichtlinien (IT-Sicherheitspolicy, IT-Risikomanagment, ISMS, IKS, IT-Sicherheitskonzept)
  • Präsentation der Ergebnisse vor einem von Ihnen definierten Personenkreis

Das Projekt

Die Erstellung eines ISMS und eines IT-Risikomanagements gehört nicht zu den alltäglichen Aktivitäten einer IT-Abteilung, wird jedoch von vielen Seiten eingefordert. Da wir über eine große Anzahlt von entsprechenden Templates und Vorgehensmodellen verfügen, schaffen wir es, die interne IT-Abteilung so wenig wie möglich mit dem Projekt zu binden.

Ein typisches Projekt setzt sich wie folgt zusammen:

  • Vorstellung des Modells im Rahmen des ersten Workshops
  • Initialworkshop zur Definition und Bewertung der IT-Sicherheitsthemen – dies bedarf je nach Betriebsgröße 2–3 halbtägige Arbeitssitzungen. Die Sitzungen werden auf Band aufgezeichnet um die Vervollständigung des Modells zu ermöglichen.
  • Vorstellung und Bewertung der IT-Risiken (auf Basis des deutschen Grundschutzkataloges) in max. 2 halbtägigen Arbeitssitzungen.
  • Erstellung des ISMS, IT-Riskmanagements und der benötigten Richtlinien durch uns
  • Gemeinsame Durchsprache der Entwürfe (1/2-tägige Sitzung)
  • Verfeinerung und Fertigstellung der Entwürfe und Abgabe aller Dokumente
  • Endpräsentation

Die Durchlaufzeit eines typischen Projektes beträgt ca. 1 – 1 ½ Monate. Die interne IT wird mit ca. 20 Sitzungsstunden (pro teilnehmender Person) belastet.

IHR NUTZEN:

Aus der Erstellung eines ISMS ergeben sich folgende Vorteile:

  • Kennenlernen einer einfachen Struktur zur Behandlung des Themas Informationssicherheitssteuerung und IT-Risikomanagement
  • Initiale Auflistung und Bewertung der IT-Risiken
  • Überblick über den tatsächlichen Status der Sicherheitsthemen in der Organisation
  • Verwendbare Unterlage für Diskussionen mit Wirtschaftsprüfern oder anderen externen Auditoren
  • Klare Vorgabe für weitere Aktivitäten zur Diskussion mit dem Unternehmensmanagement