ISMS Informationssicherheits-Managementsystem.

Ein ISMS ist das dokumentierte System, das Sie zum Schutz von Informationswerten betreiben: risikobasiert, belegt durch Nachweise, unter Management-Review. Es ist kein Ordner voller Richtlinien. Auditoren bewerten nicht Ihre Richtlinien; sie bewerten Ihre operativen Nachweise. Plan-Do-Check-Act-Zyklus, zertifiziert nach ISO/IEC 27001, mit der SoA als zentralem Artefakt.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyInformation securityAll entries

Die Einschätzung der Cyber Academy

Ein ISMS ist das dokumentierte System, das Sie zum Schutz von Informationswerten betreiben: risikobasiert, belegt durch Nachweise, unter Management-Review. Es ist kein Ordner voller Richtlinien. Auditoren bewerten nicht Ihre Richtlinien; sie bewerten Ihre operativen Nachweise. Plan-Do-Check-Act-Zyklus, zertifiziert nach ISO/IEC 27001, mit der SoA als zentralem Artefakt.

Was ein ISMS wirklich ist

Ein Informationssicherheits-Managementsystem ist das Betriebssystem, das Sie betreiben, um Informationswerte auf bewusste, wiederholbare Weise zu schützen. Das wichtigste Wort ist „System“. Es sind nicht die Sicherheitswerkzeuge, und es ist kein Ordner mit genehmigten Richtlinien auf einem freigegebenen Laufwerk.

Es ist die Gesamtheit der Prozesse, Rollen, Entscheidungen und Aufzeichnungen, mit denen eine Organisation bestimmt, welche Informationen sie schützen muss, entscheidet, wie viel Risiko sie zu akzeptieren bereit ist, Maßnahmen zur Behandlung dieses Risikos auswählt und dann nachweist, dass diese Maßnahmen im Laufe der Zeit tatsächlich wirken. Eine Richtlinie sagt, was geschehen soll. Ein ISMS ist die Maschinerie, die es geschehen lässt und den Nachweis erzeugt, dass es geschehen ist.

Die bestimmenden Merkmale sind, dass es risikobasiert und durch Nachweise belegt ist und dass es unter Managementbewertung betrieben wird. Risikobasiert bedeutet, dass Maßnahmen nicht aus einer Wunschliste ausgewählt, sondern durch eine dokumentierte Bewertung der Bedrohungen für bestimmte Werte begründet werden. Durch Nachweise belegt bedeutet, dass hinter jeder Maßnahme Artefakte stehen: durchgeführte Zugriffsüberprüfungen, überwachte Protokolle, behandelte Vorfälle, durchgeführte Schulungen. Managementbewertung bedeutet, dass die Leitung Eigentümerin des Systems ist, dessen Ziele festlegt und regelmäßig prüft, ob diese erreicht werden. Entfernen Sie eines dieser drei Elemente, dann haben Sie ein Sicherheitsprogramm, kein Managementsystem.

Warum Auditoren Nachweise bewerten, nicht Richtlinien

Ein verbreitetes und teures Missverständnis ist, dass es bei der Zertifizierung darum geht, eine gute Dokumentation zu haben. Das ist nicht so. Ein Zertifizierungsauditor setzt voraus, dass Sie eine kompetente Zugriffskontrollrichtlinie verfassen können. Was er prüfen soll, ist, ob Ihre betriebliche Wirklichkeit dem entspricht, was Ihre Dokumente behaupten.

Er wird die letzte Zugriffsüberprüfung sehen wollen und prüfen, ob sie tatsächlich abgeschlossen wurde, Tickets stichprobenartig prüfen, um zu bestätigen, dass Änderungen autorisiert waren, und einen Vorfall von der Erkennung bis zu den gewonnenen Erkenntnissen nachverfolgen. Schöne Richtlinien ohne betrieblichen Nachweis dahinter fallen bei Audits durch. Deshalb beschreiben Praktiker das ISMS als etwas, das man betreibt, nicht als etwas, das man schreibt.

Plan-Do-Check-Act: wie das System am Leben bleibt

Ein ISMS ist darauf ausgelegt, sich fortlaufend zu verbessern, statt einmalig perfektioniert zu werden. Die meisten Umsetzungen folgen dem Plan-Do-Check-Act-Zyklus, der das System ehrlich hält:

  1. Plan: den Anwendungsbereich festlegen, Risiken beurteilen, Sicherheitsziele setzen und Maßnahmen zur Behandlung der von Ihnen ermittelten Risiken auswählen.
  2. Do: diese Maßnahmen und die unterstützenden Prozesse im Tagesgeschäft umsetzen und betreiben.
  3. Check: überwachen, messen, intern auditieren und Managementbewertungen durchführen, um zu sehen, ob die Maßnahmen wirken und die Ziele erreicht werden.
  4. Act: korrigieren, was fehlschlägt, die Ursachen von Nichtkonformitäten angehen und die Verbesserungen in den nächsten Zyklus zurückführen.

Diese Schleife ist es, die ein lebendiges ISMS von einem einmaligen Compliance-Kraftakt unterscheidet. Ein Risikoregister, das einmal im Jahr überprüft und danach nie wieder angefasst wird, ist in keinem sinnvollen Sinne ein ISMS, selbst wenn es irgendwann ein Zertifikat hervorgebracht hat.

Wo es zwischen benachbarten Begriffen steht

Das ISMS ist der Rahmen, zertifiziert nach ISO/IEC 27001, der internationalen Norm, die die Anforderungen festlegt, die ein Managementsystem erfüllen muss. ISO/IEC 27001 ist die zertifizierbare Anforderungsnorm; begleitende Leitfäden wie ISO/IEC 27005 unterstützen die Arbeit der Risikobeurteilung und Risikobehandlung, die sie speist. Häufig wird das ISMS mit den darin enthaltenen Maßnahmen verwechselt, doch die Maßnahmen sind Eingaben, die das System auswählt und betreibt. Sie sind nicht das System. Die Disziplin des ISMS besteht gerade darin, dass es jede Maßnahme auf ein Risiko zurückführt und jedes Risiko auf eine dokumentierte Entscheidung von Personen, die dafür rechenschaftspflichtig sind.

Frequently asked questions

01Ist ein ISMS dasselbe wie ISO 27001?

Nicht ganz. Ein ISMS ist das Managementsystem selbst: die Prozesse und Nachweise, die Sie betreiben, um Informationen zu schützen. ISO/IEC 27001 ist die Norm, die festlegt, was ein solches System enthalten muss, und der Rahmen, gegen den ein ISMS zertifiziert werden kann. Sie können ein ISMS betreiben, ohne es zu zertifizieren, aber Zertifizierung bedeutet, dass eine akkreditierte Stelle Ihres gegen ISO 27001 auditiert hat.

02Was ist die Erklärung zur Anwendbarkeit und warum ist sie so wichtig?

Die Erklärung zur Anwendbarkeit, oder SoA, ist das Dokument, das jede Referenzmaßnahme auflistet, angibt, ob sie auf Ihre Organisation zutrifft, und jede Entscheidung anhand Ihrer Risikobeurteilung begründet. Sie ist das zentrale Artefakt eines ISMS, weil sie Ihre Risiken mit Ihren Maßnahmen verknüpft, und Auditoren nutzen sie als Landkarte für alles andere, was sie prüfen.

03Brauchen wir jede Maßnahme, um uns zertifizieren zu lassen?

Nein. Maßnahmen werden auf Grundlage Ihrer Risikobeurteilung ausgewählt, und Ausschlüsse sind zulässig, solange sie in der Erklärung zur Anwendbarkeit begründet sind und Ihre Fähigkeit, die Risiken innerhalb des Anwendungsbereichs zu steuern, nicht untergraben. Es geht um eine vertretbare, risikobasierte Auswahl, nicht um maximale Abdeckung um ihrer selbst willen.

04Wie lange dauert es, ein ISMS aufzubauen?

Das variiert stark je nach Anwendungsbereich, Größe der Organisation und Reifegrad der bereits bestehenden Sicherheitspraktiken. Die größere Einschränkung ist meist der Nachweis: Ein ISMS braucht Maßnahmen, die lange genug in Betrieb sind, um Aufzeichnungen zu erzeugen, die ein Auditor stichprobenartig prüfen kann, sodass selbst eine gut vorbereitete Organisation einen Betriebszeitraum benötigt, bevor ein Zertifizierungsaudit aussagekräftig ist.

05Wer ist intern Eigentümer des ISMS?

Die Rechenschaftspflicht liegt bei der obersten Leitung, die Führung zeigen, Ziele setzen und Managementbewertungen durchführen muss. Die tägliche Koordination wird typischerweise von einem Informationssicherheitsbeauftragten oder einer gleichwertigen Rolle geführt, aber die Eigentümerschaft kann nicht von der Leitung wegdelegiert werden, ohne die Anforderung der Managementbewertung zu brechen, die im Kern der Norm steht.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.