Das Informationssicherheitsmanagement (abgekürzt: ISM) beschreibt Maßnahmen und Arbeitsprozesse, die in einer Organisation notwendig sind, um die Sicherheit von Daten und Informationen zu gewährleisten. Neben der technischen Aspekten fallen auch menschliche Faktoren wie Fehlhandlungen in den Bereich des ISM.
Das Ziel des Informationssicherheitsmanagements ist die Vertraulichkeit, die Integrität und die Verfügbarkeit von vertraulichen Information zu sichern. Beim Erreichen dieser Ziele kann ein externer Informationssicherheitsbeauftragter und die Einführung eines Managementsystems nach DIN EN ISO/IEC 27001 helfen.
Informationssicherheitsmanagement ist wichtig, da es der Sicherheit aller Informationen und Daten im Unternehmen dient. Aufgrund der fortschreitenden Digitalisierung, Technologie und künstlicher Intelligenz fällt es Unbefugten immer leichter, sich Zugriff auf Informationen zu verschaffen. Arbeitsabläufe sollten daher sicherer gemacht und Risiken minimiert werden.
Des Weiteren eignet sich das Informationssicherheitsmanagement beim Schutz vor Gefahren oder Bedrohungen wie Cyberangriffe, Stromausfälle, Katastrophensituationen, aber auch beim Schutz vor Informationsverlust durch personelle Unstetigkeiten. Allgemein sollen wirtschaftliche Schäden vermieden und Risiken im Unternehmen minimiert werden.
Das Informationssicherheitsmanagement hilft ebenfalls bei der korrekten Informationsverarbeitung, -speicherung und -lagerung und wirkt sich positiv auf die Wettbewerbsfähigkeit aus, da das hohe Maß an Informationssicherheit im Unternehmen nachgewiesen werden kann.
Das Informationssicherheitsmanagement umfasst die Bereiche der digital gespeicherten Informationen sowie die Informationen in Papierform. Das ISM geht über das IT-Sicherheitsmanagement hinaus, da es beim Informationssicherheitsmanagement auch um die Sicherheit nicht elektronisch verarbeiteter Informationen geht.
Darüber hinaus umfasst das ISM Bereiche wie die Computersicherheit, die Datensicherheit, die Datensicherung sowie den Datenschutz von personenbezogenen Daten.
Hierfür gibt das Informationssicherheitsmanagement Zugangsregelungen vor, wie beispielsweise elektronische Lösungen, Schlüsselkarten, Schlüssellisten, Regelungen, wer bestimmte Informationen einsehen darf, das Änderungsmanagement und Freigabemanagement sowie festgelegte Aufbewahrungsfristen.
Die folgenden Risiken können in einem Unternehmen in Bezug auf die Informationssicherheit auftreten. Diese können entweder unbeabsichtigte oder beabsichtigte Bedrohungen darstellen.
Man kann eine bessere Informationssicherheit im Unternehmen gewährleisten, indem man zunächst eine Risikoanalyse durchführt, um zu ermitteln, an welcher Stelle potenzielle Risiken und Gefahren im Unternehmen bestehen. Eine Firewall und einen Virenschutz im System zu installieren sollte der erste Schritt sein.
Darüber hinaus sollte das gesamte Personal hinsichtlich der Informationssicherheit im Unternehmen geschult werden und bestimmte Richtlinien und Vorschriften an sie ausgehändigt werden.
Die größte Hilfe bei der Gewährleistung der Informationssicherheit im Unternehmen ist die Einführung eines Informationssicherheitsmanagementsystems nach DIN EN ISO/IEC 27001 oder TISAX®.
Wünschen Sie sich Unterstützung beim Einführen eines ISM-Systems, ist ein externer Informationssicherheitsmanagementbeauftragter (ISMB) zu empfehlen. Dieser ist für das Koordinieren von Informationssicherheitszielen mit dem Unternehmensmanagement und für die Organisation von Informationssicherheitsmaßnahmen in Zusammenarbeit mit dem Informationssicherheitsmanagementteam (ISMT) verantwortlich.
Ein ISMB ist zusätzlich für den Notfallplan und das Notfallhandbuch, die Verschriftlichung und Beurteilung von Informationssicherheitsmaßnahmen und für die Durchführung von Informationssicherheitsaudits zuständig.
Außerdem kann ein ISMB bei der Vorstellung und Weiterentwicklung von Regelungen zur Informationssicherheit im Unternehmen assistieren und die Beratung der Leitung bei Fragen zur Informationssicherheit sowie die Schulung von Mitarbeitern mit Hinblick auf die Informationssicherheit übernehmen.
Rund um das Informationssicherheitsmanagement bieten wir Leistungen zur ISM-Beratung, zum internen ISM-Audit, zum ISM-Rechtskataster und zum externen ISM-Beauftragten an.
Wir bieten Ihnen sowohl eine DIN EN ISO/IEC 27001 Beratung für das Informationssicherheitsmanagement als auch eine TISAX® Beratung für die Informationssicherheit Automotive. Hierbei handelt es sich im ersten Schritt um eine Bestandsaufnahme, sprich eine Bewertung des IST-Zustands in Ihrem Unternehmen.
Im zweiten Schritt helfen wir Ihnen bei der Umsetzung der Forderungen und erstellen mit Ihnen ein Qualitätsmanagementsystem inklusive der nötigen Dokumenten. Ebenfalls bereiten wir Sie auf das interne Audit vor und führen dies durch. Hierbei handelt es sich um eine Wirksamkeitsprüfung Ihres QM-Systems.
Wenn Ihr Ziel die Zertifizierung bzw. Akkreditierung Ihres Managementsystems ist, bereiten wir Sie gerne zusätzlich auf das externe Audit, sprich das Zertifizierungs- bzw. Akkreditierungsaudit, vor.
Ein internes Audit nach DIN EN ISO/IEC 27001 muss stets vor der Erstakkreditierung und danach einmal jährlich durchgeführt werden. Unter bestimmten Voraussetzungen kann jedoch ein Dreijahresplan erstellt werden.
Wir bieten Ihnen die Durchführung des jährlichen internen Audits an und stellen Ihnen hierfür einen internen Auditor zur Verfügung. Hierbei werden die Auditergebnisse verschriftlicht und weitere Handlungsempfehlungen sowie Verbesserungsvorschläge für das Managementsystem ausgesprochen. Nach dem Audit erhalten Sie von uns einen detaillierten Auditbericht.
Wir erstellen Ihnen Ihr Rechtskataster für das Informationssicherheitsmanagement. Zusätzlich beliefern wir Sie bei Bedarf mit regelmäßigen Informationen zu rechtlichen Veränderungen und sprechen Handlungsempfehlungen aus. Selbstverständlich nehmen wir ebenfalls Optimierungen des Rechtskatasters vor, um diesen aktuell zu halten.
Benötigen Sie weitere Hilfe bei der Einführung, Aufrechterhaltung und Verbesserung Ihres Informationssicherheitsmanagementsystems, stellen wir Ihnen einen externen ISM-Beauftragten. Dieser kann auch die Prüfung des ISM-Systems vornehmen und kontrollieren, ob dies mit den Anforderungen des Standards übereinstimmt.
Der externe ISM-Beauftragte ist darüber hinaus für die Definition von Verbesserungspotenzialen in Bezug auf die Informationssicherheit verantwortlich und schult Sie und Ihre Mitarbeiter diesbezüglich.
Für das interne und externe Audit ist der externe Beauftragte für die Dokumentenlenkung zuständig und entwickelt und pflegt dafür relevante Managementdokumentation zur Informationssicherheit.
Streben Sie eine Zertifizierung oder Akkreditierung Ihres Managementsystems an, hilft der ISM-Beauftragte bei der Vorbereitung auf das externe Audit und begleitet Sie ebenfalls während des Audits, indem er Ihnen als Ansprechpartner zur Seite steht.
Sowohl für die internen als auch für die externen Audit präsentiert Ihnen der externe ISM-Beauftragte Korrektur- und Vorbeugungsmaßnahme hinsichtlich des Informationssicherheitsmanagements und hilft Ihnen bei der Umsetzung dieser.
