In vier Schritten zu mehr Informationssicherheit

1. Anwendbarkeit erklären

Zunächst legt das Unternehmen fest, was das ISMS leisten soll, also welche Informationswerte durch das ISMS geschützt werden müssen. Es definiert den Anwendungsbereich und die Grenzen des ISMS. Dabei sind das Geschäft, die Organisation, der Standort, die Werte und die eingesetzte Technologie zu berücksichtigen.

Bei der Festlegung der Grenzen sind auch die Schnittstellen zwischen dem Anwendungsbereich und anderen Sektoren zu beachten. Das ist beispielsweise dann wichtig, wenn Kunden extern auf ein System zugreifen können, das in den Anwendungsbereich des ISMS fällt.

Die "Erklärung zur Anwendbarkeit" bestimmt die Komplexität und den Aufwand des ISMS. Hier wird festgestellt, welche allgemein erforderlichen Schutzaspekte (Items) für das konkrete ISMS nicht nötig sind und deshalb in einer Zertifizierung keine Rolle spielen. Werden Prozesse aus dem Auswendungsbereich ausgeschlossen, muss das aber ausführlich begründet sein. Risiken, die durch Ausschlüsse von Prozessen entstehen, müssen vom Management akzeptiert werden - nachgewiesenermaßen.

2. Risiken bewerten

In diesem Schritt geht es um das Identifizieren und Einschätzen sämtlicher Risiken innerhalb des ISMS-Anwendungsbereichs. Zunächst wird eine Methode zur Risikoeinschätzung gewählt; sie muss für das ISMS geeignet sein und den festgelegten Anforderungen für die Informationssicherheit sowie den gesetzlichen und amtlichen Ansprüchen genügen.

Daraufhin müssen Kriterien für die Risikoakzeptanz entwickelt werden. Es ist verbindlich festzulegen, welche Risiken das Unternehmen für noch vertretbar hält. Schließlich werden die konkreten Risiken identifiziert. Am Anfang dieser Aufgabe steht eine Liste der schützenswürdigen Werte, die innerhalb des ISMS-Anwendungsbereichs existieren - mitsamt den jeweils verantwortlichen natürlichen oder juristischen Personen.

Für jeden Wert muss festgelegt werden, welche Auswirkungen der Verlust von Vertraulichkeit, Integrität und Verfügbarkeit maximal haben darf. Dann erhält jeder Wert die möglichen Bedrohungen zugeordnet. Zudem werden jeweils die Schwachstellen aufgezeigt, durch die eine Bedrohung konkret eintreten könnte. Die identifizierten Risiken sind auch in ihrer Tragweite zu bewerten. Welche Folgen haben Sicherheitsvorfälle für das Unternehmen? Die Auswirkungen des Verlusts von Vertraulichkeit, Integrität und Verfügbarkeit der schützenswerten Werte müssen dabei berücksichtigt werden.

Anhand der identifizierten Bedrohungen und Schwachstellen sowie der vorhandenen Schutzmaßnahmen lässt sich abschätzen, mit welcher Wahrscheinlichkeit Sicherheitsvorfälle realistischerweise eintreten. So ist für jedes Risiko ein bestimmtes Niveau ermittelbar. Mithilfe der festgelegten Kriterien zur Risikoakzeptanz kann entschieden werden, welche Risiken noch akzeptabel sind und welchen begegnet werden muss.