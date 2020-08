Inhaltsverzeichnis Tutorial: Aufbau eines Informationssicherheitssystems ISMS Den Blick nach vorn gerichtet Asset als Basis für Risikomanagement Mit einigen Risiken muss man leben Artikel in iX 8/2020 lesen

Kleine und mittlere Unternehmen (KMU) haben oft mit ihren Managementsystemen zu kämpfen, denn die Prozesse und Regelwerke erscheinen für viele zu komplex und unflexibel. Schon der erste Teil dieses Tutorials hat gezeigt, dass das nicht zwangsläufig so sein muss. Nachdem dort das Erheben der Anforderungen beschrieben wurde, erläutert dieser Artikel das Umsetzen derselben in Vorgaben und Aufgaben.

Im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) ist dafür das Risikomanagement zuständig. Es erfasst die Schadensereignisse, die zu Verstößen gegen die Anforderungen führen können, als Risiken und legt Behandlungsmaßnahmen fest, die in Form von Vorgaben (etwa Informationssicherheitsrichtlinien) oder Aufgaben (beispielsweise Etablieren von Sicherheitsfunktionen oder -produkten) umgesetzt werden. Das Risikomanagement wagt also einen Blick in die Zukunft und beschäftigt sich mit der Frage: "Was wäre wenn?"

Folgend werden wesentliche Inhalte eines ISMS vorgestellt und Bezug auf aktuelle Standards genommen, ohne Konformität dazu anzustreben. Die Anleitung soll helfen, die wesentlichen Grundlagen für ein solches System zu legen. Im Rahmen eines kontinuierlichen Verbesserungsprozesses lässt sich der Ausbau zur Zertifizierungsfähigkeit dann fortführen.