02/2022 – Fachartikel Swiss Infosec AG
Sie ahnen es – wieder so eine Abkürzung. In der Tat, I-S-M-S steht für Informationssicherheits-Managementsystem. Nehmen wir den Begriff auseinander und teilen ihn in Informationen, Sicherheit, Management und System auf. Und nun der Reihe nach.
Informationen: Welche Informationen? In einem Unternehmen oder auch privat werden drei Arten von Informationen verwendet. Dies sind zum einen digitale Informationen (umgangssprachlich oft als Daten bezeichnet), gespeichert auf Smartphones, Tablets, Notebooks oder Servern im eigenen Unternehmen oder in der Cloud. Weitere Informationsarten sind mündliche Informationen, die wir tagtäglich mit anderen Personen austauschen und zum Dritten physische Informationen, die wir in Papierform vorliegend haben.
Sicherheit: Sicherheit, resp. Schutz der Informationen vor Verfälschung, vor ungewünschter Offenlegung an unberechtigte Personen und zur Sicherstellung, dass wir die Informationen mit dem richtigen Inhalt, in der richtigen Form rechtzeitig am definierten Ort zur Hand haben, wenn wir dies benötigen. Für eine umfassende Sicherheit von wichtigen privaten oder geschäftlichen Informationen sind fünf verschiedene Disziplinen zu berücksichtigen.
- Technik: Wo werden digitale Informationen gespeichert, verfügbar gehalten und wie werden diese übermittelt?
- Infrastruktur: In welchen Räumlichkeiten mit welchen Sicherheitsmechanismen wird die Technik platziert oder werden physische Informationen aufbewahrt?
- Recht: Welche rechtlichen Datenschutzanforderungen müssen erfüllt werden, wenn es um den Schutz von Informationen über Personen bzw. deren Privatsphäre geht?
- Mensch / Personen: Wie verhalten sich Mitarbeitende, um nicht Opfer eines Angriffes zu werden, der die Sicherheit von Informationen kompromittiert?
- Organisation: Was muss organisatorisch getan werden (bspw. Sicherheitsorganisation mit Aufgaben, Kompetenzen und Verantwortlichkeiten, Weisungen, Prozesse, Kontrollen) um die Sicherheit von Informationen zu gewährleisten?
Management: Management bedeutet «Führen» und somit «Steuern» der Sicherheit von Informationen. Management bedeutet aber auch, dass die Verantwortlichen (Verwaltungsrat und Geschäftsleitung) über eine adäquate Sicherheit entscheiden. Diese Entscheide sind risikobasiert und unter Berücksichtigung der zur Verfügung stehenden personellen, zeitlichen und finanziellen Ressourcen zu treffen.
System: Ein System läuft rund, wenn es geordnet und systematisch gebaut, betrieben und laufend verbessert wird. Ein System besteht in den meisten Fällen aus unterschiedlichen Teilen. Auch um die Sicherheit der Informationen zu gewährleisten und dem Management gute Entscheidungsgrundlagen zu liefern, werden unterschiedliche Elemente benötigt:
- Ein einfaches und pragmatisches Security Framework, welches die organisatorischen Rahmenbedingungen für unterschiedliche Zielgruppen definiert
- Sicherheitsprozesse (Inventarisierung/Klassifizierung, Risikomanagement, Security Incident Management, Exception Management, Change Management, Prüfung) zum Managen und Steuern der Sicherheit über die fünf oben genannten Disziplinen
- Managemententscheidungen, basierend auf den identifizierten Risiken und den vorhandenen Ressourcen
- Technische, organisatorische, rechtliche, personelle und bauliche Massnahmen zur Verminderung von Risiken
- Zielgruppenorientierte Ausbildung und Sensibilisierung
- Und last but not least – eine fortlaufende, kontinuierliche Verbesserung (PLAN-DO-CHECK-ACT-Zyklus) – ganz im Sinne einer lernenden Organisation
Dies steckt hinter den vier Buchstaben I-S-M-S und ist der Inhalt eines Informationssicherheits-Managementsystems (ISMS).
Für die Umsetzung eines ISMS muss das Rad nicht neu erfunden werden, sondern kann auf den internationalen Standard ISO/IEC 27001 zurückgegriffen werden. Der ISO/IEC 27001 besteht aus zwei Teilen:
- Die eigentliche Norm als Grundlage für den Aufbau und eine allfällige Zertifizierung eines ISMS
- Der Anhang A mit Massnahmenempfehlungen, die je nach Risiko eines Unternehmens in der erforderlichen Tiefe umgesetzt werden können.
Der Leitfaden ISO/IEC 27002 bietet weitere und detailliertere Hilfestellungen zu jeder einzelnen Massnahmenempfehlung aus dem Anhang A. Apropos ISO/IEC 27002: dieser Standard wurde überarbeitet und erscheint voraussichtlich im 2. Quartal 2022 in einer Neuauflage. Dabei wurde die Struktur vereinfacht und die Massnahmenempfehlungen wurden in organisatorische, personelle, physische und technische Massnahmen gegliedert. Zudem wurden neue Themen wie zum Beispiel «Cloud Services», «Threat Intelligence» (Informationen zur Bedrohung), der «Datenanonymisierung» aufgenommen und die Anzahl Massnahmenempfehlungen reduziert.
Sind Sie an detaillierteren Informationen zu den Änderungen interessiert, dann besuchen Sie unseren Kurs «Update zum Standard ISO 27002».
Swiss Infosec AG; 18.01.2022
Kompetenzzentrum Consulting