Der Einstieg in ein Informationssicherheits-Managementsystem (ISMS), oft orientiert an Standards wie der ISO/IEC 27001 oder dem BSI IT-Grundschutz, erfolgt in der Regel schrittweise und folgt dem Prinzip des PDCA-Zyklus (Plan-Do-Check-Act).
Vorbereitungsphase und Engagement des Managements (Plan)
Ein ISMS ist ein unternehmensweites Projekt und benötigt die klare Unterstützung und Vorbildfunktion des Top-Managements, einschließlich der Bereitstellung notwendiger Ressourcen (finanziell und personell).
Definieren Sie die Ziele der Informationssicherheit (Was soll erreicht werden?) und die Strategie des ISMS. Dies wird in einer Informationssicherheits-Leitlinie dokumentiert.
Benennen Sie einen Informationssicherheitsbeauftragten (ISB) oder ein Team, das für die Umsetzung und den Betrieb des ISMS verantwortlich ist. Falls Ihre Organisation keinen internen ISB stellen kann, bietet sich ggf. ein externer ISB an. Dieser kommt gerade für kleinere und mittlere Unternehmen meist kostengünstiger, als eine interne Lösung.
Bestimmen Sie klar, welche Geschäftsprozesse, Standorte, Informationen und Systeme vom ISMS abgedeckt werden sollen. Starten Sie gegebenenfalls klein und erweitern Sie den Geltungsbereich schrittweise.
Organisation eines ISMS
Informationssicherheit mit System: Unser ISMS-Tool