Tutorial: Informationssicherheitssystem ISMS prüfen und verbessern

Informationssicherheit ist ein im Unternehmen dauerhaft zu etablierender Prozess, der immer wieder überprüft und gegebenenfalls angepasst werden muss.

Lesezeit: 10 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag
Von
  • Robert Manuel Beck
Inhaltsverzeichnis

Der erste Teil des ISMS-Tutorials beschrieb, wie man Anforderungen an ein Unternehmen hinsichtlich eines Information Security Management System (ISMS) erfassen kann. Die Grundlage dafür bildeten unterschiedliche Quellen (Gesetzgeber, Kunden etc.), aus denen diese Anforderungen systematisch und kontinuierlich abgeleitet wurden. Der zweite Teil zeigte, wie man solche Anforderungen über das Risikomanagement in Vorgaben (zum Beispiel Richtlinien) und Aufgaben (zum Beispiel Umsetzung von Sicherheitsmaßnahmen) übersetzt. Dieser dritte und letzte Teil des Tutorials widmet sich nun dem Prüfen und Verbessern der Vorgaben und Aufgaben, aber auch des ISMS selbst. Es gilt zu schauen, an welchen Stellen es Abweichungen vom eigentlichen Ziel, also vom Einhalten der bestehenden Anforderungen, gibt. Darüber hinaus soll aber auch festgestellt werden, ob die etablierten Vorgehensweisen und Regelungen geeignet sind oder noch verbessert werden können.

Mehr zu ISMS

Auch dieser Teil erhebt wie die beiden vorangehenden keinen Anspruch auf Zertifizierbarkeit nach einem bekannten ISMS-Standard (zum Beispiel ISO/IEC 27001 oder ISO 27001 auf der Basis von IT-Grundschutz). Es geht darum, erst einmal anzufangen und die ersten Schritte in Richtung ISMS zu unternehmen.

Es gibt unterschiedliche Wege, Managementsysteme zu prüfen und zu verbessern. Eine Variante ist die Messung durch Kennzahlen – sogenannte Key Performance Indicators (KPI). Diese können regelmäßig erhoben werden und ermöglichen es so, das Einführen von Vorgehensweisen oder Regelungen nachzuverfolgen. Gerade kleinere Unternehmen arbeiten oftmals nicht mit Kennzahlen und tun sich daher schwer, sie zu nutzen. Dabei verlassen auch sie sich unbewusst auf Kennzahlen. Denn um nichts anderes handelt es sich, wenn man Gewinn-und-Verlust-Rechnungen auswertet oder beurteilt, ob Unternehmens- oder Projektziele erreicht wurden.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+