ISMS - Information Security Management System

Risiken identifizieren und minimieren

Ein ISMS (Informationssicherheits-Managementsystem) ist ein systematischer Ansatz zum Schutz  sensibler Unternehmensinformationen. Informationswerte in Unternehmen und Organisationen werden auf Grundlage einer Risikobetrachtung angemessen und strukturiert geschützt

Das implementierte ISMS bündelt das Wissen einer Organisation, Informationswerte mit den Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität vor Kompromittierung abzusichern und damit Konsequenzen wie wirtschaftlicher Schaden oder Verlust des Leumunds abzuwenden.

 

Start in das Informationssicherheits-Managementsystem

GAP-Analyse als Einstieg

Eine GAP-Analyse ist der erste Schritt zum Reifegrad ihres Informationssicherheits-Managementsystems. Die GAP-Analyse hilft Lücken zwischen den bestehenden Sicherheitsmaßnahmen und den Anforderungen von anerkannten Standards, wie z.B. ISO 27001, zu identifizieren.

Jetzt mehr erfahren über die GAP-Analyse

Schützen, optimieren, zertifizieren

ISMS-Zertifizierung

Die Zertifizierung eines ISMS ist für Betreiber Kritischer Infrastrukturen (KRITIS) verpflichtend und stärkt die Resilienz einer Organisation gegenüber Betriebsunterbrechungen.

Ein gepflegtes ISMS, das jährlich auditiert wird, ist die stabile Grundlage, Informationssicherheit und IT-Sicherheit strukturiert zu optimieren und veränderte Anforderungen zu integrieren.

Unternehmen und Organisationen können dieses strukturierte Vorgehen im Umgang mit Informationswerten durch eine externe Stelle zertifizieren lassen.
Geeignete Standards sind ISO/IEC 27001, BSI IT-Grundschutz und VdS 10000.

ISO/IEC 27001

Weltweit anerkannte Norm, um Risiken in der Informationssicherheit zu senken. 

Mehr erfahren

BSI IT-Grundschutz

Vordefinierte Bausteine für die Umsetzung eines ISMS. 

Mehr erfahren

VdS 10000

Informationssicherheit für kleine und mittlere Unternehmen (KMU).

Mehr erfahren

Externer Informationssicherheitsbeauftragter

Risiken minieren mit einem externen Informationssicherheitsbeauftragten

Gute externe Berater besitzen die Fähigkeit, das Essentielle vom weniger Wichtigen zu unterscheiden. Mit dieser Eigenschaft können sie den gesamten Prozess (Aufbau und Betrieb eines ISMS)  zielführend moderieren und gestalten.

Erfahren Sie mehr 

 

Häufige Fragen zur Informationssicherheit

FAQ

Was sind Informationswerte?

Unternehmen und Organisationen besitzen (Vermögens-)Werte, die in materieller und immaterieller Form vorliegen können. Diese Informationswerte (Assets) können zum Beispiel Patente sein, das Firmengebäude, Hard und Software, Stammdaten von Mitarbeitern oder Zugangsdaten zu Konten.

Ein ISMS beinhaltet Regeln, innerhalb eines Anwendungsbereichs (Scope) Risiken für Informationswerte zu identifizieren und diese in angemessener Form vor Bedrohungen wie Cyberangriffe, Diebstahl, Elementarschäden oder Sabotage zu schützen.

Informationswerte (Assets) unterscheiden sich in ihrer Bedeutung für das Unternehmen, seine Geschäftstätigkeit auszuführen. Stellt der Verlust eines Informationswertes ein hohes Risiko für das Unternehmen dar, wird der Schutzbedarf dieses Informationswertes bezüglich Verfügbarkeit entsprechend als „hoch“ eingestuft (Primary Asset). Patente eines Unternehmens sind ein Beispiel für ein weiteres Primary Asset, das in der Vertraulichkeit einen besonderen Schutzbedarf besitzt.

Im Regelwerk eines ISMS können Schutzbedarfe vererbt werden, wenn Abhängigkeiten zwischen Informationswerten bestehen.

Was ist Informationssicherheit?

Der Begriff Informationssicherheit fasst verschiedene technische und nicht technische Maßnahmen zusammen, mit denen Unternehmen und Organisationen ihre Informationswerte schützen.

Die Maßnahmen der Informationssicherheit dienen dazu, die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu erreichen. Beispiele für Maßnahmen der Informationssicherheit sind Vorkehrungen, um den Zutritt Unbefugter zum Firmengebäude zu unterbinden oder das Unternehmensnetzwerk nur Berechtigten zugänglich zu machen.

Informationssicherheit und IT-Sicherheit – wo ist der Unterschied?

IT-Sicherheit bezieht sich auf IT-Systeme und elektronisch gesicherte Informationen, während der Begriff Informationssicherheit weiter gefasst ist. Informationssicherheit bezieht nicht-technische Systeme mit ein, zum Beispiel Papierakten, oder das Firmengelände.

Welche sind die Schutzziele der Informationssicherheit?

Vertraulichkeit  bedeutet, dass nur befugte Personen Daten (Informationen) einsehen, bearbeiten und verwalten dürfen.

Integrität  bedeutet, dass Daten (Informationen) korrekt bleiben und nicht unerkannt verändert werden dürfen.

Verfügbarkeit  bedeutet, dass Daten (Informationen) befugten Personen zugänglich sind und nicht verloren gehen dürfen.

Brauche ich für die Umsetzung eines ISMS einen externen Berater?

Grundsätzlich bieten die vorgestellten Normen die Möglichkeit ein ISMS – eventuell mit Unterstützung von Fachlektüre - in Eigenregie umzusetzen. Ein externer Berater ist sicher eine gute Wahl, wenn Unternehmen und Organisationen eine Zertifizierung anstreben.

Gute externe Berater besitzen die Fähigkeit, das Essentielle vom weniger Wichtigen zu unterscheiden. Mit dieser Eigenschaft können sie den gesamten Prozess (Aufbau und Betrieb eines ISMS) zielführend moderieren und gestalten.

Sprechen Sie uns gerne an

Haben Sie Fragen zu unseren IT-Sicherheitslösungen oder benötigen Sie Beratung zum Informationssicherheits-Managementsystem (ISMS)?
Unser Expertenteam steht Ihnen gerne zur Verfügung!

Doris Poppenborg

Vertrieb

Jörg Eckardt

CISO and Management Consultant

Download

Verbesserung in die Unternehmenskultur integrieren

ISMS erfolgreich umsetzen. ISMS mit ConSecur – das Essentielle vom weniger Wichtigen unterscheiden

Lösungsblatt ISMS Download 

Referenzen und Erfolgsstorys

Unsere Kunden vertrauen uns

Erfahren Sie, wie wir Daten und Infrastrukturen sicherer gemacht haben und was unsere Kunden darüber berichten. 

Mehr Kundenrefrenzen

CDC Unterstützung
ConSecur GmbH hat für einen Kunden aus dem Bankwesen 50 IT-Security-Analysten ausgebildet

In fünf Monaten baute ConSecur ein internes Cyber-Defense-Team auf – zukunftssicher und leistungsfähig.

Referenzbericht lesen
ISMS
Resiliente und gesetzeskonforme IT-Infrastruktur für einen Übertragungsnetzbetreiber

ConSecur stärkt seit Jahren die IT-Security eines Übertragungsnetzbetreibers und sichert die Erfüllung des IT-Sicherheitsgesetzes.

Referenzbericht lesen
SIEM-Pilotierung in 15 Tagen
Managed SIEM für die Oldenburgische Landesbank

Ein Teil der Anforderungen war die schnelle Bereitstellung und die Skalierbarkeit eines betriebsbereiten SIEM.

Referenzbericht lesen
CDC Unterstützung
Pionierarbeit für Hewlett-Packard

Aufbau eines Cyber Defense Centers in Palo Alto

Referenzbericht lesen
Befugte Zugriffe von Anomalien unterscheiden
SIEM für AIRBUS DEFENCE AND SPACE

Sicherheitsvorfälle erkennen und Gegenmaßnahmen einleiten.

Referenzbericht lesen
Landesbank Baden-Wüttemberg
Cyber Attacken – 
IT-Sicherheit für die LBBW

Use Cases für das SIEM

Referenzbericht lesen