Zertifiziertes ISMS im Unternehmen

In vier Schritten zu mehr Informationssicherheit

Um die IT-Sicherheit zu gewährleisten, brauchen Unternehmen systematische Prozesse. Ein zertifiziertes Informationssicherheits-Management-System (ISMS) hilft, die Risiken zu verringern und die Verfügbarkeit der Systeme zu verbessern.

Daten sind zu einem entscheidenden Unternehmenswert geworden. Unter ihnen befinden sich auch viele hochsensible Informationen, beispielsweise personenbezogene Kunden- und Nutzerdaten. Sie verpflichten die Unternehmen zu einem besonders verantwortungsvollen Umgang. Informationssicherheit ist nicht nur gesetzliche Pflicht, sondern auch wirtschaftliches Gebot.

Weil in der Praxis oft viele interne und externe Stellen an der Datenverarbeitung mitwirken - beispielweise spezialisierte Dienstleister -, ist eine umfassende Betrachtung der Informationssicherheit notwendig. Aber wie lässt sich eine systematische Informationssicherheit garantieren? Die Antwort lautet: mit einem Informationssicherheits-Management-System, kurz: ISMS, das an das jeweilige Unternehmen angepasst ist.

Was ist ein ISMS?

Unter diesem Begriff ist ein umfassendes, ganzheitliches und standardisiertes Managementsystem zu verstehen - mit definierten Regeln und Prozessen, die der Definition, Steuerung, Kontrolle, Wahrung und fortlaufenden Optimierung der Informationssicherheit im Unternehmen dienen. Die Norm ISO/IEC 27001 legt den internationalen Standard für ein ISMS fest.

Wozu zertifizieren?

Mit einer Zertifizierung kann ein Unternehmen die Risiken in der Informationsverarbeitung verringern sowie die Verfügbarkeit der IT-Systeme und -Prozesse erhöhen. Zudem lässt sich ein solches Zertifikat - in Deutschland unter anderem vergeben von den TÜV-Mitgliedern - nutzen, um Vertrauen bei Kunden und Anwendern zu schaffen.

Doch viele Unternehmen schrecken vor einem vollumfänglich standardkonformen Betrieb eines ISMS und der zugehörigen Zertifizierung zurück. Sie fürchten die Komplexität des Vorbereitungs- und Zertifizierungsprozesses. Dabei ist der Aufwand geringer, als es auf den ersten Blick den Anschein hat. Anders als im Qualitäts- oder Umweltmanagement entstehen hier gar keine neuen Anforderungen. Vielmehr werden vorhandene beziehungsweise ohnehin erforderliche Maßnahmen in einen strategischen Gesamtkontext eingebunden und mit Prozessen hinterlegt, die eine systematische Anwendung sicherstellen.

Auch die Zertifizierung selbst bringt kaum neue Aspekte ins Unternehmen ein. Zwar wird dazu eine Zertifizierungsstelle regelmäßige, teils mehrstufige Audits ausführen. Doch das Unternehmen sollte im Interesse einer unabhängigen Kontrolle seiner Sicherheitsmaßnahmen ohnehin bereits externe Auditierungen in Anspruch genommen haben. Ein prototypisches Vorgehen zum Etablieren eines standardkonformen und damit zertifizierbaren ISMS setzt sich aus folgenden vier Schritten zusammen.