Informationssicherheits-Managementsysteme: So gelingt die Einführung & ISO-Zertifizierung

Das IT-Sicherheitsgesetz ist novelliert – damit rückt das Thema ISO 27001-zertifizierte Informationssicherheits-Managementsysteme (ISMS) näher an viele Unternehmen heran. Wir zeigen, wie der Weg dorthin aussieht.

In den letzten 15 Jahren hat sich die Zahl der gültigen ISO-27001-Zertifikate in Deutschland mehr als verzehnfacht. Schon 2018 hatten 49% der deutschen Industrieunternehmen ab zehn Mitarbeitern bereits ISMS im Einsatz, 14% planten die Implementierung. Mit den Gesetzesänderungen im Rahmen des zweiten IT-Sicherheitsgesetzes sind ISMS für mehr KRITIS-Unternehmen und deren Zulieferer Pflicht. Sprich: Die Zahlen werden deutlich steigen.

ISMS einführen häufig einfacher als erwartet

Klar, denn das ISMS ist DAS zentrale System, das alle Prozesse und Regeln festschreibt, die zur dauerhaften Definition, Steuerung, Kontrolle, Aufrechterhaltung und Verbesserung der Informationssicherheit dienen. Es klärt also in einem Unternehmen die Frage, wie Informationssicherheit geplant, bewertet und umgesetzt wird. Ziel ist es, kritische Werte oder Informationen vor Verlust, Manipulation oder Kompromittieren zu schützen.

Die gute Nachricht: Viele Sicherheitsmaßnahmen existieren in Unternehmen bereits und müssen „nur“ noch dokumentiert werden. Oftmals können auch existierende Prozesse genutzt werden, um Maßnahmen zu steuern oder Vorfälle zu melden. Und: Die Implementierung des ISMS ist kein abgeschlossener Prozess. Das heißt: Nicht alle notwendigen Maßnahmen müssen von Anfang an direkt umgesetzt werden. Einen Weg aufzuzeigen, wann und wie sie konkret von wem umgesetzt werden, genügt für die erste Zertifizierung.

Schritt für Schritt zum ISMS

Ein ISMS zu implementieren ist mehr als die Einführung einer neuen Software. Es ist ein Change-Prozess. Eine ISMS-Einführung setzt sich aus unterschiedlichen Teilprojekten zusammen und ist unterschiedlich umfangreich – je nach Unternehmensgröße, Branche, bereits vorhandenen Dokumentationen, Handlungsanweisungen, KPIs sowie dem Grad des bereits gelebten IT-Sicherheitsbewusstsein.

Die sechs Schritte zum zertifizierten ISMS nach ISO 27001:

• Normverständnis und Sicherheitsbewusstsein schaffen
• Umsetzungsumfang bestimmen
• Register relevanter Unternehmenswerte erstellen
• Ein Risiko-Assessment durchführen
• Erforderliche Dokumente erarbeiten und Maßnahmenpläne erstellen
• Die Wirksamkeit des ISMS entfalten, interne Audits durchführen und Management-Bericht etablieren

Sie wollen mehr über die einzelnen Schritte bis zur Zertifizierung erfahren und mit Checklisten Ihren Fortschritt prüfen? Dann nehmen Sie an unserem aktuellen Webinar teil. Lead-Auditor und Geschäftsführer der EWERK Consulting Michael Stach erklärt praxisorientiert und handfest, worauf es bei der Einführung von ISMS ankommt.