Zertifiziertes ISMS im Unternehmen
In vier Schritten zu mehr Informationssicherheit
3. Maßnahmen umsetzen
Im Rahmen der Risikobehandlung werden Maßnahmen ausgewählt, mit denen sich nicht akzeptable Risiken vermeiden oder im Niveau senken lassen. Das können interne Maßnahmen sein, aber auch Vereinbarungen mit externen Partnern hinsichtlich der Übernahme bestimmter Risiken.
Für jede Maßnahme ist ein Ziel festzulegen. Die konkrete Umsetzung wird von der zertifizierenden Stelle im Rahmen von Audits kontrolliert. Das Unternehmen muss jedoch Prozesse schaffen, die eine kontinuierliche interne Maßnahmenverfolgung und -überwachung sicherstellen. Risiken, die sich noch im Rahmen der zulässigen Risikoakzeptanz bewegen, erfordern keine Maßnahmen, aber für jedes Risiko ist objektiv zu begründen, weshalb es für vertretbar gehalten wird.
Jeder Betrieb hat individuelle Anforderungen, die sich aus dem jeweiligen Anwendungsbereich ergeben. Das bedeutet auch, dass er nur einen Teil der möglichen Maßnahmen umsetzen muss, um den Standards von ISO/IEC 27001 zu genügen.
- Mythos 6
Die IT sollte die Anwender dazu ermutigen, zufällig generierte Passwörter zu benutzen und diese alle 30 Tage zu ändern. - Mythos 12
Mit einer Firewall ist ein Netzwerk geschützt. - Mythos 11
Endpoint-Security-Software ist Commodity geworden. - Mythos 10
Der Transfer von sensiblen Daten via SSL ist sicher. - Mythos 9
Neue Software ist nicht sicherer als alte. - Mythos 8
Wir sind kein Angriffsziel. - Mythos 7
Jeder Computervirus macht sich für den Anwender irgendwie bemerkbar. - Mythos 5
Client-seitige Virtualisierung kann die Sicherheitsprobleme der IT-Consumerization lösen. - Mythos 4
Auf die Intelligenz der Masse ist Verlass. - Mythos 3
Der Passwort-Ablaufzyklus (typischerweise 90 Tage) schützt die IT-Systeme. - Mythos 2
Das DDoS-Problem ist mit Bandbreite zu lösen. - Mythos 1
Mehr Sicherheit ist immer besser.
4. Regelmäßig überprüfen
Die Einrichtung eines ISMS ist mit der Umsetzung der beschlossenen Maßnahmen nicht abgeschlossen. Es handelt sich um einen kontinuierlichen Prozess nach dem Plan-Do-Check-Act-Verfahren.
Die Wirksamkeit des ISMS muss regelmäßig überprüft werden - mithilfe geeigneter Überwachungsmaßnahmen. Änderungen, die Auswirkungen auf den Anwendungsbereich haben könnten (zum Beispiel neue Unternehmensstandorte), sind zu berücksichtigen. Werden Verbesserungspotenziale, Mängel in der Umsetzung von Maßnahmen oder veränderte beziehungsweise neue Risiken erkannt, ist ein weiterer Durchlauf des Prozesses notwendig. So wird das ISMS kontinuierlich verbessert. (hal)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.