Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Informationssicherheit

«I-S-M-S» – Was wirklich hinter den vier Buchstaben steckt.

02/2022 – Fachartikel Swiss Infosec AG

Sie ahnen es – wieder so eine Abkürzung. In der Tat, I-S-M-S steht für Informationssicherheits-Managementsystem. Nehmen wir den Begriff auseinander und teilen ihn in Informationen, Sicherheit, Management und System auf. Und nun der Reihe nach.

Informationen: Welche Informationen? In einem Unternehmen oder auch privat werden drei Arten von Informationen verwendet. Dies sind zum einen digitale Informationen (umgangssprachlich oft als Daten bezeichnet), gespeichert auf Smartphones, Tablets, Notebooks oder Servern im eigenen Unternehmen oder in der Cloud. Weitere Informationsarten sind mündliche Informationen, die wir tagtäglich mit anderen Personen austauschen und zum Dritten physische Informationen, die wir in Papierform vorliegend haben.

Sicherheit: Sicherheit, resp. Schutz der Informationen vor Verfälschung, vor ungewünschter Offenlegung an unberechtigte Personen und zur Sicherstellung, dass wir die Informationen mit dem richtigen Inhalt, in der richtigen Form rechtzeitig am definierten Ort zur Hand haben, wenn wir dies benötigen. Für eine umfassende Sicherheit von wichtigen privaten oder geschäftlichen Informationen sind fünf verschiedene Disziplinen zu berücksichtigen.

  • Technik: Wo werden digitale Informationen gespeichert, verfügbar gehalten und wie werden diese übermittelt?
  • Infrastruktur: In welchen Räumlichkeiten mit welchen Sicherheitsmechanismen wird die Technik platziert oder werden physische Informationen aufbewahrt?
  • Recht: Welche rechtlichen Datenschutzanforderungen müssen erfüllt werden, wenn es um den Schutz von Informationen über Personen bzw. deren Privatsphäre geht?
  • Mensch / Personen: Wie verhalten sich Mitarbeitende, um nicht Opfer eines Angriffes zu werden, der die Sicherheit von Informationen kompromittiert?
  • Organisation: Was muss organisatorisch getan werden (bspw. Sicherheitsorganisation mit Aufgaben, Kompetenzen und Verantwortlichkeiten, Weisungen, Prozesse, Kontrollen) um die Sicherheit von Informationen zu gewährleisten?

Management: Management bedeutet «Führen» und somit «Steuern» der Sicherheit von Informationen. Management bedeutet aber auch, dass die Verantwortlichen (Verwaltungsrat und Geschäftsleitung) über eine adäquate Sicherheit entscheiden. Diese Entscheide sind risikobasiert und unter Berücksichtigung der zur Verfügung stehenden personellen, zeitlichen und finanziellen Ressourcen zu treffen.

System: Ein System läuft rund, wenn es geordnet und systematisch gebaut, betrieben und laufend verbessert wird. Ein System besteht in den meisten Fällen aus unterschiedlichen Teilen. Auch um die Sicherheit der Informationen zu gewährleisten und dem Management gute Entscheidungsgrundlagen zu liefern, werden unterschiedliche Elemente benötigt:

  • Ein einfaches und pragmatisches Security Framework, welches die organisatorischen Rahmenbedingungen für unterschiedliche Zielgruppen definiert
  • Sicherheitsprozesse (Inventarisierung/Klassifizierung, Risikomanagement, Security Incident Management, Exception Management, Change Management, Prüfung) zum Managen und Steuern der Sicherheit über die fünf oben genannten Disziplinen
  • Managemententscheidungen, basierend auf den identifizierten Risiken und den vorhandenen Ressourcen
  • Technische, organisatorische, rechtliche, personelle und bauliche Massnahmen zur Verminderung von Risiken
  • Zielgruppenorientierte Ausbildung und Sensibilisierung
  • Und last but not least – eine fortlaufende, kontinuierliche Verbesserung (PLAN-DO-CHECK-ACT-Zyklus) – ganz im Sinne einer lernenden Organisation

Dies steckt hinter den vier Buchstaben I-S-M-S und ist der Inhalt eines Informationssicherheits-Managementsystems (ISMS).

Für die Umsetzung eines ISMS muss das Rad nicht neu erfunden werden, sondern kann auf den internationalen Standard ISO/IEC 27001 zurückgegriffen werden. Der ISO/IEC 27001 besteht aus zwei Teilen:

  • Die eigentliche Norm als Grundlage für den Aufbau und eine allfällige Zertifizierung eines ISMS
  • Der Anhang A mit Massnahmenempfehlungen, die je nach Risiko eines Unternehmens in der erforderlichen Tiefe umgesetzt werden können.

Der Leitfaden ISO/IEC 27002 bietet weitere und detailliertere Hilfestellungen zu jeder einzelnen Massnahmenempfehlung aus dem Anhang A. Apropos ISO/IEC 27002: dieser Standard wurde überarbeitet und erscheint voraussichtlich im 2. Quartal 2022 in einer Neuauflage. Dabei wurde die Struktur vereinfacht und die Massnahmenempfehlungen wurden in organisatorische, personelle, physische und technische Massnahmen gegliedert. Zudem wurden neue Themen wie zum Beispiel «Cloud Services», «Threat Intelligence» (Informationen zur Bedrohung), der «Datenanonymisierung» aufgenommen und die Anzahl Massnahmenempfehlungen reduziert.

Sind Sie an detaillierteren Informationen zu den Änderungen interessiert, dann besuchen Sie unseren Kurs «Update zum Standard ISO 27002».

Swiss Infosec AG; 18.01.2022
Kompetenzzentrum Consulting

Kategorie: Fachartikel Swiss Infosec AG | Informationssicherheit
Reto Steinmann
Head of Consulting
Anfrage
Reto Steinmann
Head of Consulting
Anfrage

Ein Managementsystem für Informationssicherheit nach ISO 27001 – auch ohne Zertifizierung erstrebenswert!

04/2021 – Fachartikel Swiss Infosec AG

Informationen stellen seit jeher einen wichtigen Wert in Unternehmungen dar. Datenverlust oder unerwünschte Preisgabe von Geschäftsgeheimnissen soll verhindert werden, das reibungslose Funktionieren von informationsverarbeitenden Systemen soll sichergestellt sein. Dies sind nur zwei von vielen weiteren Beispielen für Anforderungen, welche Unternehmungen an den Schutz ihrer Informationen haben sollten. Wie alle anderen Unternehmenswerte (z.B. Produktionsanlagen, Mitarbeitende, Innovationen) sind also auch Informationen vor Gefahren und Bedrohungen zu schützen, damit wirtschaftliche Schäden vermieden und Risiken minimiert werden können.

Mit dem Trend zur Digitalisierung kommt die Unternehmungsleitung gar nicht mehr darum herum, sich nicht um Informationssicherheit zu kümmern, sondern diese aktiv – idealerweise systematisch – in ihrer Organisation zu etablieren.

Dabei gestaltet sich die Suche nach Best Practices/empfohlenen Vorgehensweisen erfreulich einfach: in der internationalen Norm ISO/IEC 27001 sind die Anforderungen für Einführung, Betrieb, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems (kurz: ISMS) niedergeschrieben.

Bei ISO 27001 handelt es sich um eine zertifizierbare Norm, was aber nicht bedeutet, dass eine Zertifizierung unbedingt ins Auge gefasst werden muss. Ein ISMS unterstützt bei Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken und kann somit auch ausschliesslich zum Schutz wertvoller Unternehmenswerte (in diesem Falle Informationen) eingesetzt werden.

Besteht für die Unternehmen seitens ihrer Stakeholder (Kunden, Behörden, Partner) keine Anforderung, Informationssicherheit systematisch zu managen, lassen sich trotzdem gute Gründe finden, weshalb der Unternehmenswert INFORMATIONEN nach ISO 27001 geschützt werden soll:

  • Beim Managen der Informationssicherheit nach ISO 27001 wird ein ganzheitlicher und international standardisierter Ansatz angewendet.
  • Durch Aufbau, Betrieb und Weiterentwicklung eines ISMS gewinnt die Unternehmung transparente und optimierte Strukturen, Prozesse und Verfahren, welche Kosteneinsparungen und Aufwandsreduktionen möglich machen. Die ISO 27001-Norm macht hierzu sehr gute und einfach umsetzbare Vorgaben.
  • Die Erfüllung rechtlicher Anforderungen wird durch die vorgegebene Systematik erleichtert, indem die für die Unternehmung geltenden Gesetze identifiziert und mittels entsprechender Dokumentation transparent gemacht werden.
  • Strukturierte Sicherheitsprozesse fördern unternehmensweit einheitliche Sichtweisen für eine standardisierte und abgestimmte Informationssicherheit.
  • Abgrenzungen sind geregelt und Aufgaben, Kompetenzen und Verantwortlichkeiten definiert.
  • Das ISMS ermöglicht jederzeit den Überblick und die Kontrolle der Informationen.
  • Geschäftskritische Prozesse werden eruiert, womit sich die erforderliche Verfügbarkeit von Informationen und deren IT-Ressourcen feststellen und gegebenenfalls anpassen lässt.
  • Die fortlaufende Weiterentwicklung einer Unternehmung findet dank ISMS automatisch Eingang in die Informationssicherheit.

Dabei steht immer die übergeordnete Zielsetzung im Fokus, dass Informationen aufgrund identifizierter Risiken angemessen mit den zur Verfügung stehenden Mitteln geschützt werden sollen.

Ein ISMS nach ISO 27001 lässt sich äusserst pragmatisch aufbauen, betreiben und weiterentwickeln: für die wichtigsten Sicherheitsprozesse werden kurze und klar verständliche Vorgaben definiert und die entsprechenden Zielgruppen für ihre Aufgaben im ISMS mittels kontinuierlicher Information, Ausbildung und Sensibilisierung befähigt. Kann das ISMS zusätzlich über eine gängige Kollaborationsplattform betrieben werden, steht der Einfachheit nichts mehr im Weg – vorbei sind die Zeiten endloser Papierdokumentation in Managementsystemen.

Eine Anlehnung an die Methodik und die Anforderungen der ISO-Norm 27001 macht in jedem Fall Sinn, auch ohne abschliessende Zertifizierung: die Unternehmen setzen damit auf international anerkannte Methoden und Standards und erreichen in vielen Bereichen eine Umsetzung gemäss aktuellem Stand der Technik.

Kategorie: Fachartikel Swiss Infosec AG | Informationssicherheit
Rita Zimmerli
Managing Consultant
Anfrage
Rita Zimmerli
Managing Consultant
Anfrage
© Swiss Infosec AG 2026