Die nackte Wahrheit über Informationssicherheits-Managementsysteme
Wo es herkommt
Ein ISMS wird durch die Organisationsleitung initiiert und sie definiert seine Ziele. Historisch ist die heutige Struktur von ISMS etwa um die Jahrtausendwende aus diversen Vorarbeiten entstanden.
Womit es sich beschäftigt
Ein ISMS dient dazu, die Informationssicherheit in einer Organisation auf ein von ihr definiertes Niveau zu bringen und zu halten. Es schützt dazu die drei Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität von Informationen. Dabei berücksichtigt es deren Kritikalität und Sensitivität. 1
Was es macht
Ein ISMS berücksichtigt die Prozesse einer Organisation, um die Informationswerte zu erkennen und ermittelt die Risiken für diese Werte – dann definiert es Schutzmaßnahmen. Diese Maßnahmen können organisatorische Regelungen oder technische Vorkehrungen sein. Dann mißt es den Erfolg der Maßnahmen, berichtet an die Organisationsleitung und der Zyklus beginnt von vorn.
Woraus es besteht
Ein ISMS selbst besteht aus einer Reihe organisatorischer Regelungen, die im Kern zwei Dinge regeln: Eine Risikobeurteilung (mit allem „Drum und Dran“, also vom Inventar über die Risikoanalyse bis zur Maßnahmenplanung) und einen ständigen Verbesserungsprozess.
Es erzeugt aber eine Menge operativer Regelungen (siehe „was es macht“), die in diverse Bereiche der Organisation ausstrahlen, besonders in das Personalwesen und den Einkauf, aber auch in die physische Sicherheit.
Wer dafür gerade steht
Ultimativ ist die Organisationsleitung verantwortlich. Sie überträgt die „Betriebsverantwortung“ für das ISMS aber einem oder einer Informationssicherheitsbeauftragten (ISB). Die Namen dafür sind vielfältig, manche sagen auch Information Security Offices (ISO) oder schmücken sich mit einem „C“ davor um als „Chief“ zu gelten und werden so zum CISO.
Was es bringt
In der Anfangszeit hatten ISMS es schwer, weil sie aus Sicht vieler Organisationsleitungen nur Kosten verursachten. Eine Ironie der Geschichte wollte es, dass die ständigen Cyber-Angriffe von zwielichtigen Banden und Staaten ein umfassendes Steuer- und regelwerk für die Sicherheitsaspekte beim Umgang mit Informationen unumgänglich machte. Den Organisationsleitungen, die das bis heute nicht verstanden haben, helfen Regulierungen wie NIS-2.
Natürlich wird man mit einem ISMS nicht „sicher“ (uneingeschränkt, also absolut). Aber man bewegt sich auf dem Niveau, das den eigenen Risiken angemessen ist – man schützt sich also vor „fiesen“ Überraschungen. Und das kann sehr viel wert sein.
- Übrigens beschäftigt sich der Datenschutz nur mit personenbezogenen Informationen, ist also (abgesehen von einem großen Augenmerkt auf Compliance) eine Untermenge der Informationssicherheit. ↩︎