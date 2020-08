Tutorial, Teil 2: Aufbau eines ISMS – Risikomanagement Zukunftsweisend Robert Manuel Beck Risiken im Vorfeld zu erkennen und Maßnahmen festzulegen, mit denen sich im Ernstfall das Schlimmste verhindern lässt, ist Aufgabe des Risikomanagements. Vor allem kleine und mittlere Unternehmen sind damit oft überfordert.

iX-tract Risikomanagement im Rahmen eines Informationssicherheitssystems (ISMS) beschäftigt sich mit der Frage, welche Maßnahmen eingeleitet werden sollen, wenn ein bestimmtes Ereignis eintritt.

Das ISMS versucht, alle denkbaren Risiken zu benennen und zu klassifizieren. Aus der Risikomatrix lassen sich dann Handlungsoptionen ableiten und Verantwortlichkeiten festlegen.

Ein solches System kann selbstverständlich nicht alle Eventualitäten erfassen. Daher muss es flexibel ausgelegt sein und sich jederzeit an veränderte Bedingungen anpassen lassen.

Kleine und mittlere Unternehmen (KMU) haben oft mit ihren Managementsystemen zu kämpfen, denn die Prozesse und Regelwerke erscheinen für viele zu komplex und unflexibel. Schon der erste Teil dieses Tutorials hat gezeigt, dass das nicht zwangsläufig so sein muss. Nachdem dort das Erheben der Anforderungen beschrieben wurde, erläutert der folgende Artikel das Umsetzen derselben in Vorgaben und Aufgaben. Im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) ist dafür das Risikomanagement zuständig. Es erfasst die Schadensereignisse, die zu Verstößen gegen die Anforderungen führen können, als Risiken und legt Behandlungsmaßnahmen fest, die in Form von Vorgaben (etwa Informationssicherheitsrichtlinien) oder Aufgaben (beispielsweise Etablieren von Sicherheitsfunktionen oder -produkten) umgesetzt werden. Das Risikomanagement wagt also einen Blick in die Zukunft und beschäftigt sich mit der Frage: „Was wäre wenn?“

Wie schon der erste Teil stellt auch dieser zweite Teil wesentliche Inhalte eines ISMS vor. Er nimmt zwar Bezug auf aktuelle Standards, strebt aber keine Konformität dazu an. Die Anleitung soll helfen, die wesentlichen Grundlagen für ein solches System zu legen. Im Rahmen eines kontinuierlichen Verbesserungsprozesses lässt sich der Ausbau zur Zertifizierungsfähigkeit dann fortführen.