Was ist Informations­sicherheitsmanagement?

aktualisiert am 6. Dezember 2023

Das Informationssicherheitsmanagement (abgekürzt: ISM) beschreibt Maßnahmen und Arbeitsprozesse, die in einer Organisation notwendig sind, um die Sicherheit von Daten und Informationen zu gewährleisten. Neben der technischen Aspekten fallen auch menschliche Faktoren wie Fehlhandlungen in den Bereich des ISM.

Das Ziel des Informationssicherheitsmanagements ist die Vertraulichkeit, die Integrität und die Verfügbarkeit von vertraulichen Information zu sichern. Beim Erreichen dieser Ziele kann ein externer Informationssicherheitsbeauftragter und die Einführung eines Managementsystems nach DIN EN ISO/IEC 27001 helfen.

Warum ist Informations­sicherheits­management wichtig?

Informationssicherheitsmanagement ist wichtig, da es der Sicherheit aller Informationen und Daten im Unternehmen dient. Aufgrund der fortschreitenden Digitalisierung, Technologie und künstlicher Intelligenz fällt es Unbefugten immer leichter, sich Zugriff auf Informationen zu verschaffen. Arbeitsabläufe sollten daher sicherer gemacht und Risiken minimiert werden.

Des Weiteren eignet sich das Informationssicherheitsmanagement beim Schutz vor Gefahren oder Bedrohungen wie Cyberangriffe, Stromausfälle, Katastrophensituationen, aber auch beim Schutz vor Informationsverlust durch personelle Unstetigkeiten. Allgemein sollen wirtschaftliche Schäden vermieden und Risiken im Unternehmen minimiert werden.

Das Informationssicherheitsmanagement hilft ebenfalls bei der korrekten Informationsverarbeitung, -speicherung und -lagerung und wirkt sich positiv auf die Wettbewerbsfähigkeit aus, da das hohe Maß an Informationssicherheit im Unternehmen nachgewiesen werden kann.

Welche Bereiche umfasst das Informations­­sicherheits­management?

Das Informationssicherheitsmanagement umfasst die Bereiche der digital gespeicherten Informationen sowie die Informationen in Papierform. Das ISM geht über das IT-Sicherheitsmanagement hinaus, da es beim Informationssicherheitsmanagement auch um die Sicherheit nicht elektronisch verarbeiteter Informationen geht.

Darüber hinaus umfasst das ISM Bereiche wie die Computersicherheit, die Datensicherheit, die Datensicherung sowie den Datenschutz von personenbezogenen Daten. 

Hierfür gibt das Informationssicherheitsmanagement Zugangsregelungen vor, wie beispielsweise elektronische Lösungen, Schlüsselkarten, Schlüssellisten, Regelungen, wer bestimmte Informationen einsehen darf, das Änderungsmanagement und Freigabemanagement sowie festgelegte Aufbewahrungsfristen.

Die folgenden Risiken können in einem Unternehmen in Bezug auf die Informationssicherheit auftreten. Diese können entweder unbeabsichtigte oder beabsichtigte Bedrohungen darstellen.

  • Verlust von Daten
  • Beeinflussung der Daten (Systemmissbrauch)
  • Hacking und Viren
  • unpünktliche Bereitstellung von Daten
  • Insider-Bedrohungen
  • verbotene Verwertung der Daten
  • (technische) Systemausfälle
  • Einbrüche 
  • Fehlbedienungen 

Wie kann man eine bessere Informationssicherheit im Unternehmen gewährleisten?

Man kann eine bessere Informationssicherheit im Unternehmen gewährleisten, indem man zunächst eine Risikoanalyse durchführt, um zu ermitteln, an welcher Stelle potenzielle Risiken und Gefahren im Unternehmen bestehen. Eine Firewall und einen Virenschutz im System zu installieren sollte der erste Schritt sein.

Darüber hinaus sollte das gesamte Personal hinsichtlich der Informationssicherheit im Unternehmen geschult werden und bestimmte Richtlinien und Vorschriften an sie ausgehändigt werden. 

Die größte Hilfe bei der Gewährleistung der Informationssicherheit im Unternehmen ist die Einführung eines Informations­sicherheits­managementsystems nach DIN EN ISO/IEC 27001 oder TISAX®.

Wünschen Sie sich Unterstützung beim Einführen eines ISM-Systems, ist ein externer Informationssicherheits­managementbeauftragter (ISMB) zu empfehlen. Dieser ist für das Koordinieren von Informations­sicherheits­­zielen mit dem Unternehmensmanagement und für die Organisation von Informationssicherheits­maßnahmen in Zusammenarbeit mit dem Informations­sicherheits­managementteam­ (ISMT) verantwortlich. 

Ein ISMB ist zusätzlich für den Notfallplan und das Notfallhandbuch, die Verschriftlichung und Beurteilung von Informations­sicherheits­maßnahmen und für die Durchführung von Informationssicherheitsaudits zuständig.

Außerdem kann ein ISMB bei der Vorstellung und Weiterentwicklung von Regelungen zur Informationssicherheit im Unternehmen assistieren und die Beratung der Leitung bei Fragen zur Informationssicherheit sowie die Schulung von Mitarbeitern mit Hinblick auf die Informations­sicherheit übernehmen.

Welche Leistungen bieten wir rund um das Informationssicherheits­management?

Rund um das Informationssicherheitsmanagement bieten wir Leistungen zur ISM-Beratung, zum internen ISM-Audit, zum ISM-Rechtskataster und zum externen ISM-Beauftragten an. 

ISM-Beratung

Wir bieten Ihnen sowohl eine DIN EN ISO/IEC 27001 Beratung für das Informationssicherheitsmanagement als auch eine TISAX® Beratung für die Informationssicherheit Automotive. Hierbei handelt es sich im ersten Schritt um eine Bestandsaufnahme, sprich eine Bewertung des IST-Zustands in Ihrem Unternehmen. 

Im zweiten Schritt helfen wir Ihnen bei der Umsetzung der Forderungen und erstellen mit Ihnen ein Qualitätsmanagementsystem inklusive der nötigen Dokumenten. Ebenfalls bereiten wir Sie auf das interne Audit vor und führen dies durch. Hierbei handelt es sich um eine Wirksamkeitsprüfung Ihres QM-Systems.

Wenn Ihr Ziel die Zertifizierung bzw. Akkreditierung Ihres Managementsystems ist, bereiten wir Sie gerne zusätzlich auf das externe Audit, sprich das Zertifizierungs- bzw. Akkreditierungsaudit, vor.

ISM-Audit

Ein internes Audit nach DIN EN ISO/IEC 27001 muss stets vor der Erstakkreditierung und danach einmal jährlich durchgeführt werden. Unter bestimmten Voraussetzungen kann jedoch ein Dreijahresplan erstellt werden. 

Wir bieten Ihnen die Durchführung des jährlichen internen Audits an und stellen Ihnen hierfür einen internen Auditor zur Verfügung. Hierbei werden die Auditergebnisse verschriftlicht und weitere Handlungsempfehlungen sowie Verbesserungsvorschläge für das Managementsystem ausgesprochen. Nach dem Audit erhalten Sie von uns einen detaillierten Auditbericht. 

ISM-Rechtskataster

Wir erstellen Ihnen Ihr Rechtskataster für das Informationssicherheitsmanagement. Zusätzlich beliefern wir Sie bei Bedarf mit regelmäßigen Informationen zu rechtlichen Veränderungen und sprechen Handlungsempfehlungen aus. Selbstverständlich nehmen wir ebenfalls Optimierungen des Rechtskatasters vor, um diesen aktuell zu halten. 

Externer ISM-Beauftragter 

Benötigen Sie weitere Hilfe bei der Einführung, Aufrechterhaltung und Verbesserung Ihres Informations­sicherheits­managementsystems, stellen wir Ihnen einen externen ISM-Beauftragten. Dieser kann auch die Prüfung des ISM-Systems vornehmen und kontrollieren, ob dies mit den Anforderungen des Standards übereinstimmt. 

Der externe ISM-Beauftragte ist darüber hinaus für die Definition von Verbesserungspotenzialen in Bezug auf die Informationssicherheit verantwortlich und schult Sie und Ihre Mitarbeiter diesbezüglich. 

Für das interne und externe Audit ist der externe Beauftragte für die Dokumentenlenkung zuständig und entwickelt und pflegt dafür relevante Managementdokumentation zur Informationssicherheit.  

Streben Sie eine Zertifizierung oder Akkreditierung Ihres Managementsystems an, hilft der ISM-Beauftragte bei der Vorbereitung auf das externe Audit und begleitet Sie ebenfalls während des Audits, indem er Ihnen als Ansprechpartner zur Seite steht. 

Sowohl für die internen als auch für die externen Audit präsentiert Ihnen der externe ISM-Beauftragte Korrektur- und Vorbeugungsmaßnahme hinsichtlich des Informationssicherheitsmanagements und hilft Ihnen bei der Umsetzung dieser.

Sprechen sie uns an

Kontakt Formular
02933. 78 63 185
info@iqi-gmbh.de
IQI Privates Institut für Qualität und Innovation GmbH 
Niedensteinsweg 8
59846 Sundern
Die IQI GmbH ist seit mehr als 20 Jahren nach DIN EN ISO 9001 zertifiziert und wendet damit selbst ein Qualitätsmanagementsystem an. Damit zeigen wir, dass wir aktiv leben, was wir Ihnen anbieten.

Als AVPQ-zertifiziertes Unternehmen weisen wir die Einhaltung sozialer Standards, gesetzlicher Anforderungen sowie unsere Leistungsfähigkeit als zuverlässiger Lieferant nach. Die Nachweise entsprechen den Anforderungen der Einheitlichen Europäischen Eigenerklärung (EEE) und der Vergabe- und Vertragsordnung für Leistungen (VOL).

Wir sind Mitglied in der Deutschen Gesellschaft für Luft-und Raumfahrt (DGLR) und der Deutschen Gesellschaft für Qualität (DGQ), beteiligen uns an Experten-Netzwerken und stellen unsere fachliche Weiterentwicklung sicher.

Mit unserer Mitgliedschaft im “Wirtschaft in Südwestfalen e.V.” wollen wir gemeinsam mit regionalen Unternehmen den Standort Südwestfalen als Marke fördern.
Copyright © 2024
 iqi-gmbh.de. 
Alle Rechte vorbehalten
envelopephone-handsetmap-markermagnifiercross linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram