- Ist SimplifyU ein ISMS?
- Unterstützt die QM Software SimplifyU ISMS?
- Wir haben doch schon einige IT-Sicherheitskonzepte umgesetzt, reicht das nicht für ISMS aus?
- Ist ein Risikomanagement nicht ausreichend, um die Anforderungen eines ISMS abzudecken?
- Wer muss bei einem ISMS überhaupt mit einbezogen werden?
Diese und viele andere Fragen wurden uns gestellt und wir haben uns entschlossen, das Thema ISMS anzugehen.
Um die zwei grundlegenden Fragen direkt zu beantworten:
- Nein, SimplifyU ist kein ISMS.
- Ja, SimplifyU unterstützt die Umsetzung der Anforderungen eines ISMS.
Grundlagen
Doch lassen Sie uns von vorne beginnen. Was ist eigentlich Informationssicherheit?
Die Definition von Informationssicherheit lautet: „Die Gewährleistung und der Erhalt der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.“
Zusätzlich zu den 3 Hauptziele Vertraulichkeit, Integrität, Verfügbarkeit können weitere Nebenziele an die Informationssicherheit gestellt werden, wie Authentizität, Verantwortlichkeit, Verbindlichkeit und Verlässlichkeit.
Weiter lautet die Definition eines Managementsystems: „System von Leitlinien, Verfahren, Anleitungen, Prozessen und den zugehörigen Betriebsmitteln (inkl. Personal, Technik, u.v.m.), die zur Erreichung der Ziele eines Unternehmens (oder einer Organisation) erforderlich sind.“
Das „System“ in ISMS steht für das definierte systematische Rahmenwerk von Leitlinien, Verfahren, Anleitungen, Prozessen, Verantwortungen und Regeln. Denn erst die Definition und Dokumentation dieser ermöglicht eine Steuerung, Kontrolle und kontinuierliche Verbesserung. Man verbindet oft den Begriff „System“ mit einem, meist technischen, System bzw. einer Software. Doch das ist nichtzutreffend.
Zusammengefasst, ist die Definition eines ISMS: „Ein InformationsSicherheits-ManagementSystem ist die Definition und Verbreitung von Leitlinien, Verfahren, Anleitungen, Prozessen, Verantwortungen und Regeln innerhalb eines Unternehmens, die dazu dienen, die Informationssicherheit, dauerhaft zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.“
IT-Sicherheit und ISMS
Die IT-Sicherheit wird gerne als Synonym für Informationssicherheit genannt. Das ist allerdings nicht korrekt. IT-Sicherheit ist ein Teil des ISMS bzw. hat Überschneidungspunkte mit dem ISMS.
IT-Sicherheit bezieht sich nur auf die Sicherheit eingesetzter Technologie, Informationssicherheit bezieht sich hingegen auf organisatorische Belange wie z. B. Verantwortlichkeiten. Die IT ist daher nicht alleinig zuständig für die Informationssicherheit, sondern „nur“ für die IT-Sicherheit. Die Informationssicherheit sollte von der Geschäftsleitung ausgehend in allen Unternehmensbereichen durch ein ISMS umgesetzt werden.
Ein einfaches Beispiel anhand des Hauptziels Vertraulichkeit, welches verdeutlicht, dass Informationssicherheit mehr ist als „nur“ IT-Sicherheit: Die IT hat alle Daten ordnungsgemäß vor dem Zugriff von außen durch Sicherheitsmechanismen abgeriegelt, aber ein Mitarbeiter mit gültigem Zugang macht ein Screenshot von sensiblen Daten und verschickt diesen per Smartphone an einen Außenstehenden.
Fazit: Die IT-Sicherheit war zu 100% gegeben und hat als Teil des ISMS funktioniert, aber durch ein Fehlverhalten eines Mitarbeiters wurde die Informationssicherheit verletzt. Der Teil des ISMS, welcher Regeln für die Mitarbeiter im Umgang mit sensiblen Daten definiert, hat also nicht funktioniert bzw. wurde nicht umgesetzt.
Ziele des ISMS
- Definition aller (Vermögens-)Werte (assets) im Unternehmen
- Z.B. Informationen/Dokumente (analog und digital), Software, Hardware, Menschen, Qualifikationen, Erfahrungen, Immobilien, Reputation und Ansehen, u.v.m.
- Schutz aller Werte (assets) im Unternehmen durch:
- Kontinuierliches Risikomanagement
- Vorgabe von Richtlinien und Anleitungen
- Die regelmäßige Schulung von Mitarbeitern
- Planung und Umsetzung konkreter Sicherheitsmaßnahmen
- Überprüfung der Maßnahmen z. B. durch regelmäßige Audits
- Zuweisung von Verantwortlichkeiten
- Kurz: Das Leben des ISMS im gesamten Unternehmen
- Sicherstellung der Informationssicherheit in allen Bereichen (nicht „nur“ IT) unter folgenden Zielen:
- Vertraulichkeit
- Integrität
- Verfügbarkeit
- und ggf. weiteren Nebenzielen, wie Authentizität, Verantwortlichkeit, Verbindlichkeit und Verlässlichkeit.
- Vermeidung von wirtschaftlichen Schäden oder Reputationsschäden
Das ISMS ist die Grundlage für eine systematische und prozessorientierte Umsetzung von Informationssicherheit innerhalb Ihres Unternehmens über alle Abteilungen und Bereich hinweg.
Wie kann SimplifyU konkret unterstützen, um ein ISMS bei Ihnen zu etablieren?
Das oberste Management bildet die Grundlage für das Thema ISMS. Damit ein ISMS im gesamten Unternehmen funktioniert, muss das oberste Management sich klar zu der Wichtigkeit des ISMS bekennen und das ISMS vorleben. Alle Mitarbeiter müssen zum Thema ISMS geschult werden und das Thema täglich leben.
SimplifyU kann Sie sowohl in der Findungs- und Entscheidungsphase begleiten und unterstützen als auch bei der konkreten Umsetzung beraten, z. B. zu den Themen:
- Sensibilisierung Ihrer Mitarbeiter
- Aufbau eines Risikomanagement
- Dokumentation inkl. Workflows und Berechtigungen
- Erarbeitung und transparente Darstellung von unternehmensweiten Zielen
Unsere Software Module können genutzt werden, um konkrete Anforderungen des ISMS umzusetzen. Einige Beispiele dafür sind:
- Asset-Register können in der Dokumentation gepflegt und provisioniert werden.
- Risiken können im Risikomanagement abgebildet, bewertet, verfolgt und mit Maßnahmen und Projekten verknüpft werden.
- Projekte und Maßnahmen haben definierte Verantwortliche und Fälligkeiten und es kann jederzeit der Stand des Projekts eingesehen werden.
- Ab Q4/2022 können Audits direkt in der SimplifyU Software verwaltet, erstellt und ggf. Maßnahmen direkt aus Audits abgeleitet und verfolgt werden.
- Aussagekräftige Kennzahlen können im gleichnamigen Modul erstellt werden und helfen bei der Kontrolle messbarer Ziele und der Erstellung der Managementbewertung.
- Dokumente und Informationen können über das Modul Dokumentation gezielt verbreitet und berechtigten Benutzern zugänglich gemacht werden.
- Meldungen, wie CIRS oder z. B. ein Hinweisgebersystem kann über das Modul Formulare und Meldungen abgebildet werden.
Abschließend bleibt zu sagen:
Das ISMS in Ihrem Haus wird so individuell, wie Sie und Ihr Haus sind!
SimplifyU unterstützt Sie gerne durch Beratung und Software dabei, die Anforderungen des ISMS individuell für Ihre Prozesse zu erarbeiten und abzubilden. Kontaktieren Sie uns jederzeit bei Fragen direkt per Mail oder Telefon.
