Informationssicherheitsmanagement (IS-Management) ist ein ziemlich langes Wort dafür, dass Informationen in Organisationen ordentlich geschützt werden sollten.

Warum Informationssicherheitsmanagement?

Die Notwendigkeit für diese Disziplin hat sich daraus ergeben, dass IT-Sicherheit ein Thema war, was eigentlich nur die IT-Admins etwas anging und diese haben nach bestem Wissen und Gewissen gehandelt, indem Passwortrichtlinien festgelegt, Firewalls konfiguriert oder Server auch mal redundant vorgehalten wurden. Das Problem daran ist nicht der IT-Admin, sondern, dass dieses Vorgehen meist nicht strukturiert alle IT-Systeme abdeckt und das IT-Sicherheit oder Informationssicherheit weit mehr bedeutet als sichere IT-Systeme.

Aus diesem Grund wurde IS-Management eingeführt zusammen mit den dazugehörigen Informationssicherheitsmanagementsystemen, kurz ISMS. Die Aufgabe war also Informationssicherheit im Unternehmen ganzheitlich zu betrachten, zu dokumentieren und kontinuierlich zu verbessern. Manch einer mag denken, hier sollten nur ein paar Stellen geschaffen werden oder eine weitere Möglichkeit entstehen mit Zertifizierungen Geld zu machen, aber meine Erfahrung zeigt, dass ein ISMS definitiv einen Mehrwert bringt und so gut wie immer Lücken in Verteidigungsmaßnahmen aufzeigt.

Was ist ein ISMS?

Stellt sich die Frage, was ist ein ISMS? Ein ISMS versucht die Vorgehensweise, um Informationssicherheit zu managen, in einem oder mehreren Programmen abzubilden. Meist gehört auch dazu, dass Dokumentation abgelegt wird und Zwischenschritte, wie Risikoanalysen durchgeführt werden können. Wichtiger als das ISMS ist die Vorgehensweise zur Etablierung des IS-Managements. Sicher hat der ein oder andere schon etwas von der ISO 27001 und dem IT-Grundschutz gehört. Diese beiden sind in Deutschland die bekanntesten Vertreter für Vorgehensweisen zum IS-Management. Beide werden in späteren Artikeln vorgestellt.

Es gibt aber auch noch andere Varianten, wie ISIS12, VDA TISAX oder übergreifende Frameworks, wie ITIL oder COBIT.

Kritik am IS-Management und ISMSn kommt vor Allem aus Richtung der Kosten- und Nutzenfrage, denn der reine verwalterische Aufwand für ein ISMS ist sehr hoch, ähnlich wie bei QM-System oder Umweltmanagement-systemen. Meiner Meinung nach muss hier für die jeweilige Organisation das passende ISMS im korrektem Umfang gewählt werden, um das Verhältnis von Aufwand und Nutzen zu optimieren. Dazu mehr in den Artikeln der einzelnen Vorgehensweisen.


1 Kommentar

Überblick Informationssicherheitsmanagement – Maxanit Consulting · Juli 17, 2020 um 8:21 pm

[…] Einführung in das Informationssicherheitsmanagement […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.