Die Einführung der Informationssicherheit und des Informationssicherheits-managementsystems (ISMS) bildet zu Beginn der Tätigkeit die Hauptaufgabe des externen IT-Sicherheitsbeauftragten in Zusammenarbeit mit der Geschäftsleitung und den Mitarbeitern der IT.

Dabei existieren mehrere Vorgehensweisen:

1. Basispaket mit grundlegender Analyse und Maßnahmen

Es gibt einige Maßnahmen, die auf die meisten IT-Strukturen passen und die Informationssicherheit wesentlich verbessern. Dazu ist nur eine kleine Strukturanalyse notwendig, um dann Maßnahmen, wie eine Passwortrichtlinie, ein Datensicherungskonzept, Virenschutz, Zugangs-, Zugriffs- und Zutrittskontrollen und andere Maßnahmen, einzuführen.

2. Standardabsicherung mit ISMS auf Basis von ISIS12

Bei der Vorgehensweise Nummer 2 wird ein Informationssicherheitsmanagementsystem (ISMS) aufgebaut. Dies bedeutet, dass ein strukturiertes IT-Sicherheitskonzept auf Grundlage einer Strukturanalyse Ihrer Organisation aufgebaut wird. Zusätzlich werden Regeln zur Revision und kontinuierlichen Verbesserung etabliert. Die Einführung eines ISMS ist auch der erste Schritt zu einer Zertifizierung.

Wie bereits erwähnt wird hier die Vorgehensweise von ISIS12 gewählt. ISIS12 ist ein von der ISO 27001 und dem IT-Grundschutz abgeleiteter Standard speziell für kleine und mittlere Unternehmen. Das ISMS wird dabei in 12 Schritten eingeführt.

3. Absicherung nach IT-Grundschutz oder ISO 27001

Die ISO 27001 und der IT-Grundschutz sind vermutlich die bekanntesten Vorgehensweisen um ein ISMS und ein IT-Sicherheitskonzept zu entwickeln. Beide variieren aber im Umfang und der Realisierbarkeit sehr stark abhängig von der IT Ihrer Organisation.

Die ISO 27001 basiert auf einer Risikoanalyse der Gefahren, die auf Ihre IT wirken. Aus dieser Analyse wird dann das Sicherheitskonzept abgeleitet.

Der IT-Grundschutz hingegen baut auf einem umfangreichen Maßnahmenkatalog auf, welcher auf den eigenen Informationsverbund angewendet wird. Die Risikoanalyse bildet hier nur einen ergänzenden Aspekte für spezifische Assets. Der IT-Grundschutz bietet dabei den Vorteil, dass verschiedene Vorgehensweisen (Basis, Kern und Standard), welche dann unter Umständen schnell ein gewisses Sicherheitsniveau herbeiführen können.

Nachdem diese Aufgabe abgeschlossen ist, hat der Informationssicherheits-beauftragte weiter kontinuierliche Aufgaben.