Information Security Management System (ISMS)
Was ist ein ISMS?
Ein Information Security Management System (ISMS) ist ein systematischer Ansatz zur Verwaltung sensibler Unternehmensinformationen, sodass diese sicher bleiben. Es umfasst Personen, Prozesse und IT-Systeme, die zusammenarbeiten, um Informationssicherheit zu gewährleisten.
Kernkomponenten eines ISMS
Die ISO/IEC 27002:2022 definiert vier Operational Capabilities (Organisatorische Fähigkeiten), die die Grundlage für ein effektives ISMS bilden:
Organizational (Organisatorisch)
Organisatorische Sicherheitsmaßnahmen umfassen Richtlinien, Prozesse, Governance-Strukturen, Rollen und Verantwortlichkeiten, Compliance-Management, Lieferketten-Sicherheit und die Integration von Informationssicherheit in Geschäftsprozesse.
People (Personen)
Personenbezogene Sicherheitsmaßnahmen umfassen Schulungen, Awareness, Verantwortlichkeiten, Vertraulichkeitsvereinbarungen, Disziplinarverfahren, Screening-Verfahren und die Sicherstellung, dass Mitarbeiter ihre Rolle in der Informationssicherheit verstehen.
Physical (Physisch)
Physische Sicherheitsmaßnahmen umfassen Zugangskontrollen, Überwachung, Umgebungssicherheit, Equipment-Sicherheit, Sicherung von Räumlichkeiten und den Schutz vor physischen Bedrohungen wie Diebstahl, Feuer oder Naturkatastrophen.
Technological (Technologisch)
Technologische Sicherheitsmaßnahmen umfassen Netzwerksicherheit, Verschlüsselung, Zugriffskontrollen, Systemhärtung, Malware-Schutz, Backup und Recovery, Logging und Monitoring sowie die Sicherheit von Anwendungen und Daten.
Operational Capabilities und Kernthemen
Operational Capabilities sind ein Attribut zur Betrachtung von Kontrollen aus der Praxisperspektive der Informationssicherheitsfähigkeiten. Die ISO/IEC 27002:2022 definiert folgende Operational Capabilities mit ihren jeweiligen Kernthemen:
| Operational Capability | Kernthemen | Zuordnung |
|---|---|---|
| Governance | Richtlinien, Strategien, Rollen und Verantwortlichkeiten, Management-Commitment, Risikomanagement-Framework | Organizational |
| Asset Management | Inventarisierung von Assets, Asset-Verantwortlichkeiten, Klassifizierung von Informationen, Lebenszyklus-Management | Organizational |
| Information Protection | Datenklassifizierung, Verschlüsselung, Datenschutz, Informationsfluss-Kontrollen, Backup und Recovery | Technological |
| Human Resource Security | Rekrutierung, Screening, Vertraulichkeitsvereinbarungen, Schulungen, Awareness, Disziplinarverfahren | People |
| Physical Security | Zugangskontrollen, Überwachung, Umgebungssicherheit, Equipment-Sicherheit, Schutz vor physischen Bedrohungen | Physical |
| System and Network Security | Netzwerksicherheit, Firewalls, Netzwerk-Segmentierung, Netzwerk-Monitoring, Systemhärtung | Technological |
| Application Security | Secure Development Lifecycle, Code Reviews, Application Testing, API-Sicherheit, Web Application Security | Technological |
| Secure Configuration | Systemhärtung, Konfigurationsmanagement, Change Management, Patch Management, Baseline-Konfigurationen | Technological |
| Identity and Access Management | Benutzerverwaltung, Authentifizierung, Autorisierung, Privileged Access Management, Multi-Factor Authentication | Technological |
| Threat and Vulnerability Management | Vulnerability Assessments, Penetrationstests, Threat Intelligence, Security Monitoring, Incident Detection | Technological |
| Continuity | Business Continuity Planning, Disaster Recovery, Backup-Strategien, RPO/RTO, Notfallpläne | Organizational |
| Supplier Relationships Security | Lieferantenauswahl, Vertragsmanagement, Überwachung von Lieferanten, Incident Management mit Lieferanten | Organizational |
| Legal and Compliance | Rechtliche Anforderungen, Compliance-Management, Datenschutz, Audit-Management, Meldepflichten | Organizational |
| Information Security Event Management | Event Logging, Log Management, Security Monitoring, Incident Response, Forensik | Technological |
| Information Security Assurance | Audits, Reviews, Testing, Penetrationstests, Security Assessments, Kontinuierliche Verbesserung | Organizational |
Zuordnung zu Hauptkategorien
Organizational: Governance, Asset Management, Continuity, Supplier Relationships Security, Legal and Compliance, Information Security Assurance
People: Human Resource Security
Physical: Physical Security
Technological: Information Protection, System and Network Security, Application Security, Secure Configuration, Identity and Access Management, Threat and Vulnerability Management, Information Security Event Management
Zusammenhänge zu DORA, BSI IT-Grundschutz, NIS-2 und BCM
DORA (Digital Operational Resilience Act)
Organizational: DORA erfordert ein umfassendes IT-Risikomanagement-Framework mit klaren Governance-Strukturen und Management-Verantwortung, was direkt den organisatorischen Capabilities entspricht.
People: DORA verlangt Schulungen und Bewusstseinsbildung für Mitarbeiter und Management im Bereich der digitalen operationellen Resilienz.
Physical: Physische Sicherheit ist relevant für den Schutz von IKT-Infrastruktur und Rechenzentren.
Technological: DORA legt spezifische Anforderungen an Incident Management, Testing (Penetrationstests, TLPT), IKT-Drittanbieter-Management und Informationsaustausch fest, die primär technologische Capabilities betreffen.
BSI IT-Grundschutz
Organizational: Der BSI IT-Grundschutz bietet detaillierte organisatorische Maßnahmen durch das IT-Grundschutz-Kompendium mit Bausteinen für Governance, Richtlinien und Prozesse.
People: BSI-Standards definieren Anforderungen an Schulungen, Awareness und Rollenverantwortlichkeiten für Mitarbeiter.
Physical: Das IT-Grundschutz-Kompendium enthält spezifische Bausteine für physische Sicherheit, Zugangskontrollen und Umgebungssicherheit.
Technological: BSI IT-Grundschutz bietet umfassende technologische Maßnahmen für Netzwerksicherheit, Systemhärtung, Verschlüsselung und alle technischen Aspekte der Informationssicherheit.
NIS-2 (Network and Information Systems Directive 2)
Organizational: NIS-2 verlangt explizite Management-Verantwortung und Governance-Strukturen für Cybersicherheit, einschließlich Cybersicherheitsstrategien und Risikomanagement.
People: NIS-2 erfordert regelmäßige Schulungen und Bewusstseinsbildung für Mitarbeiter und Management, um Cybersicherheitsrisiken zu adressieren.
Physical: Physische Sicherheit ist relevant für den Schutz kritischer Netz- und Informationssysteme.
Technological: NIS-2 definiert spezifische technische und organisatorische Maßnahmen zur Gewährleistung der Cybersicherheit, einschließlich Incident Management und Meldepflichten (24h-Frist).
BCM (Business Continuity Management)
Organizational: BCM erfordert organisatorische Strukturen für Business Continuity, Notfallplanung, Rollen und Verantwortlichkeiten im Krisenfall und Integration in Geschäftsprozesse.
People: BCM umfasst Schulungen für Notfallteams, Awareness für Mitarbeiter über Notfallverfahren und klare Kommunikationsstrukturen.
Physical: Physische Sicherheit ist kritisch für BCM, da physische Bedrohungen (Feuer, Naturkatastrophen) direkte Auswirkungen auf die Geschäftskontinuität haben.
Technological: BCM erfordert technologische Maßnahmen wie Backup und Recovery, Redundanz, Failover-Mechanismen und die Sicherstellung der Verfügbarkeit kritischer Systeme (RPO/RTO).
ISMS-Zusammenhänge gemäß ISO/IEC 27001:2022
Die ISO/IEC 27001:2022 definiert sieben Hauptkapitel, die die Struktur eines ISMS bilden. Diese Kapitel bilden einen kontinuierlichen Verbesserungszyklus, der durch die PDCA-Methodik (Plan-Do-Check-Act) gesteuert wird. Jedes Kapitel hat spezifische Anforderungen und steht in Beziehung zu den anderen Kapiteln.
Kontext der Organisation
Identifikation interner und externer Faktoren, die die Informationssicherheit beeinflussen. Bestimmung des Anwendungsbereichs des ISMS und Identifikation interessierter Parteien.
Führung
Engagement der obersten Leitung, Festlegung von Informationssicherheitsrichtlinien, Zuweisung von Rollen und Verantwortlichkeiten sowie Sicherstellung der Integration des ISMS in Geschäftsprozesse.
Planung
Identifikation von Risiken und Chancen, Festlegung von Informationssicherheitszielen und Planung von Maßnahmen zur Risikobehandlung. Entwicklung von Plänen zur Erreichung der Ziele.
Unterstützung
Bereitstellung von Ressourcen, Kompetenzen, Bewusstsein und Kommunikation für das ISMS. Dokumentation und Steuerung dokumentierter Informationen.
Betrieb
Umsetzung der geplanten Maßnahmen zur Erreichung der Informationssicherheitsziele. Durchführung von Risikobehandlungsmaßnahmen und Steuerung von Änderungen.
Bewertung der Leistung
Überwachung, Messung, Analyse und Bewertung der ISMS-Leistung. Durchführung interner Audits und Managementbewertungen zur Sicherstellung der Wirksamkeit.
Verbesserung
Ergreifen von Maßnahmen zur kontinuierlichen Verbesserung des ISMS. Behandlung von Nichtkonformitäten und Korrekturmaßnahmen zur Sicherstellung der fortlaufenden Optimierung.
PDCA-Zyklus
Interaktive Übersicht: Asset- & Risikomanagement im PDCA-Zyklus
Der kontinuierliche Verbesserungsprozess nach dem Plan-Do-Check-Act Prinzip gewährleistet die fortlaufende Optimierung des ISMS.