Was ist eine ISMS?

Ein Information Security Management System (kurz ISMS, oder auf deutsch Informationssicherheitsmanagementsystem) ist im Grundsatz nicht anderes als eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, um die Informationssicherheit (nicht nur IT-Sicherheit!) zu definieren, zu steuern, aufrechtzuerhalten und fortlaufend zu verbessern. Man spricht hier von einem sogenannten PDCA-Zyklus (Plan-Do-Check-Act), also einem klassischen Qualitätsmanagementansatz. Deshalb findet sich eine mögliche Ausprägung in der internationalen Norm.

Ziel des Informations-Sicherheitsmanagements ist es, ein angemessenes, wirtschaftlich vertretbares Niveau der Informationssicherheit eines Unternehmens bzw. einer Behörde zu erreichen und zu bewahren!

Die Aufgaben eines ISMS Beauftragten

  • Der Informations-Sicherheits-Beauftragte stellt den Hauptansprechpartner rund um das Thema Informationssicherheit dar
  • Er verantwortet alle erforderlichen Aktivitäten zur Etablierung, Implementierung und Aufrechterhaltung des ISMS
  • Er koordiniert insbesondere die Erarbeitung von Risikoanalysen und IS-Konzepten, die Einführung notwendiger Prozesse (z.B. Behandlung von Sicherheitsvorfällen) sowie die Sensibilisierung und Schulung der Mitarbeiter
  • Er überprüft die Realisierung und Wirksamkeit von IS-Maßnahmen und –Prozessen
  • Er führt regelmäßige interne Reviews durch und koordiniert externe Audits
  • Er berichtet der Unternehmensleitung den Status des ISMS
  • Er gewährleistet die Umsetzung von Verbesserungsmaßnahmen aufgrund erkannter Schwachstellen

Ablauf einer ISMS Einführung

Phase 1: Definition

- Managementunterstützung einholen
- Anwendungsbereich definieren
- Sicherheitsorganisation aufbauen / festlegen –> ISB benennen
- Sicherheitslinie erstellen
- Bedrohungs- und Schwachstellenanlayse durchführen
- Risiken identifizieren und evaluieren
- Sofortmaßnahmen definieren –> SOA erstellen

Phase 2: Implementieren und Betreiben

- Risikobehandlungsplan formulieren und umsetzen
- Sicherheitsmaßnahmen realisieren (Sicherheitsrichtlinien und Sicherheitskonzepte erstellen)
- Methoden zur Bewertung der Wirksamkeit der Maßnahmen entwickeln
- Maßnahmen umsetzen: Schulung und Sensibilisierung Management des Betriebs und der Ressourcen
- Erkennung und Reaktion auf Sicherheitsvorfälle

Phase 3: Überwachen und Prüfen

- Wirksamkeit des ISMS regelmäßig überprüfen - interne ISMS-Audits und Management Reviews durchführen Überwachungsverfahren ausführen - Wirksamkeit der Erfüllung von Sicherheitsanforderungen (durch die Sicherheitsmaßnahmen) prüfen - Restrisiken und Risikoniveaus bei Änderungen erfassen und bewerten

Phase 4: Aufrechterhalten und Verbessern

Identifizierte Verbesserungen umsetzen Korrektur- und Vorbeugemaßnahmen durchführen Ergebnisse und Maßnahmen kommunizieren Wirksamkeit der Korrektur- und Vorbeugemaßnahmen analysieren

Unser Angebot für Sie

  • Durchführung von sog. GAP-Analysen auf Basis von DIN ISO/IEC 27001 oder VdS 3473
  • Aufbau eines ISMS
  • Implementierung eines Prozesses zur Risikoanalyse
  • Unterstützung bei der Durchführung von Risikoanalysen
  • Unterstützung bei der Erstellung von Richtlinien, Konzepten und Anweisungen
  • Unterstützung bei der Prozessgestaltung; insbesondere eines PDCA-Prozesses im Sinne einer kontinuierlichen Verbeserung (KVP)
  • Begleitung bis zur Zertifizierung

Unser Experte ist Ihr
Ansprechpartner

Andreas Bethke, Dipl. Informatiker

Andreas Bethke ist Diplom Informatiker, akkreditierter technischer Sachverständiger für mehrere Datenschutzgütesiegel und zertifizierter Informationssicherheitsbeauftragter. Unternehmen zu mehr Datensicherheit zu verhelfen, ist seine Mission. Neben den hierfür notwendigen rechtlichen Kenntnissen und Informatik Know How verfügt er zusätzlich über Kompetenzen in Projektmanagement und Coaching. So kann er die Auswirkungen auf Systeme, Prozesse und die Organisation erfolgreich steuern. Andreas Bethke zeichnet sich durch eine umfangreiche Erfahrung auf dem Gebiet des Datenschutzes und der Datensicherheit aus und unterstützt Unternehmen seit vielen Jahren bei der Einführung von ISMS nach DIN ISO/IEC 27001. Er strahlt Zuversicht aus und ist für seinen Pragmatismus bekannt. Sein Ziel ist immer, allen Beteiligten den Sinn von Informationssicherheit näher zu bringen und ein bisschen Begeisterung für das Thema aufkommen zu lassen.

Andreas Bethke, Jahrgang 1970 

Diplom Informatiker (Schwerpunkt Softwaretechnik)
Zertifizierter Informationssicherheitsbeauftragter auf Basis ISO 27001 und BSI Grundschutz
DSIAG Zertifizierter Datenschutz-Auditor
Technischer Sachverständiger für ePrivacyseal
EuroPriSe TECHNICAL Expert
Technical Expert for EuroPriSe Website Certification
Certified Scrum Master
ILP© Therapeut/Coach
War beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannter Sachverständiger für IT-Produkte (technisch) von 2002 – 2018.

Tätigkeitsschwerpunkte

Erstellung von Gutachten für IT-Produkte und IT-Verfahren

Durchführung von Audits im Bereich Datenschutz und Datensicherheit und ISMS

Erstellung und Prüfung von IT-Sicherheitskonzepten, Datenschutzkonzepten, IT-Infrastrukturen u. a. in Rechenzentren mittelständischer Unternehmen

Tätigkeit als externer Datenschutzbeauftragter

Beratung und Coaching von firmeninternen Datenschutzbeauftragten

Unterstützung bei der Einführung von ISMS nach DIN ISO IEC 27001 und VDS 3473

Tätigkeit als externer Informationssicherheitsbeauftragter nach ISO IEC 27001 und BSI Grundschutz