NIS-2 - ISMS Prinzipien und Fragen zur Selbsteinschätzung

Im Artikel letzte Woche haben wir Grob die organisatorischen Maßnahmen vorgestellt und herausgefunden, dass das Informationssicherheits- Managementsystem (ISMS) mit den verschiedenen Komponenten ein wesentlicher Bestandteil von NIS-2 ist. Heute vertiefen wir das Thema ISMS, indem wir wichtige Prinzipien klären und Fragen aufstellen, die jedes Unternehmen für sich beantworten sollte.

Inhalt

Die Gedanken hinter einen ISMS

Der Ansatz der meisten Managementsysteme

Fragen, bevor ein ISMS aufgebaut wird

Fazit

Die Gedanken hinter einen ISMS

Mit dem ISMS werden die Informationsrisiken in Unternehmen genauer analysiert. Diese Risiken beziehen sich nicht nur auf elektronische Medien und elektronische Kommunikation, sondern auch auf physische Medien, wie gedruckte Dokumente oder die mündliche Weitergabe von Informationen. Für alle Unternehmen sind Daten und Know-How die wichtigsten Werte, die unbedingt zu schützen sind. Wenn von Informationen gesprochen wird, muss unbedingt die Gesamtheit betrachtet werden.

Gefühlt werden damit nur die Risiken eingeordnet, aber es gehört auch dazu Chancen zu identifizieren. Beispielsweise durch Optimierungen die Wirtschaftlichkeit und Qualität zu verbessern und die Sicherheit zu erhöhen oder gar Risiken auszuschließen. Zudem kann die Zertifizierung ein Wettbewerbsvorteil sein, denn sie ist ein Beleg dafür, dass Unternehmen wichtige Standards erfüllen.

Der Ansatz der meisten Managementsysteme

In einem ISMS findet man meist den klassischen Ansatz: dem PDCA-Zyklus wieder. Das ist ein Zyklus mit 4 Maßnahmen, die in Endlosschleife immer wieder wiederholt werden müssen: Plan, Do, Check und Act. Konkret wird im ersten Schritt „Plan“ des Zyklus die Ziele formuliert und die Maßnahme geplant. Im zweiten Schritt „Do“ werden die Maßnahmen getestet, um Erkenntnisse zu gewinnen. Im dritten Schritt „Check“ findet eine Überprüfung statt, in der auch die Zielvorgaben abgeglichen werden. Im letzten Schritt „Act“ werden alle Maßnahmen mit den Erkenntnissen umgesetzt und der erste Durchlauf abgeschlossen.

Fragen, bevor ein ISMS aufgebaut wird

Im Vorfeld sollte sich das Management eines Unternehmens einige Fragen stellen, um den Sinn und Zweck des ISMS zu erkennen:

1. ISMS-Richtlinie verfassen. Was sind die Ziele und warum soll ein ISMS im Unternehmen implementiert werden? Wie läuft die Implementierung eines solchen Systems organisatorisch ab und wer übernimmt die Rolle des Informationssicherheitsbeauftragten (ISB)? Welche Ressourcen stehen dem ISB zur Verfügung? Welche Maßnahmen müssen umgesetzt werden?
   
   
2. Werte identifizieren und klassifizieren. Welche Werte und Informationen sollen geschützt werden und wie sensibel sind sie? In diesem Kontext fallen oft drei Begriffe: Verfügbarkeit, Vertraulichkeit und Integrität. Die Verfügbarkeit heißt, dass Informationen zugänglich sind, sobald sie benötigt werden. Die Vertraulichkeit steht dafür, dass Informationen nicht zugänglich für Unbefugte sind. Integrität bedeutet, dass die Informationen richtig sind, also nicht veraltet oder manipuliert, etc.
   
   
3. Strukturen für ISMS-Implementierung und Risikomanagement festlegen. Welche Tools sollen verwendet werden? Welche Ressourcen stehen dem ISB zur Verfügung? Welche Strukturen sollten auf dieser Basis etabliert werden?
   
   
4. Kontrollmechanismen entwickeln. Wie können wir prüfen, ob das ISMS die Unternehmenswerte effektiv schützt?
   
   
5. Das ISMS in den Arbeitsalltag integrieren. Welche Prozesse setzen wir im Arbeitsalltag um? Wie integrieren und dokumentieren wir sie?
   
   
6. Ergebnisse prüfen und Kennzahlen (KPIs) ermitteln. Welche Ergebnisse das erzielt ISMS und welche Kennzahlen (key performance indicators, KPIs) daraus können abgeleitet werden.
   
   
7. Korrekturen vornehmen und präventive Maßnahmen ergreifen. In welchen Bereichen müssen wir uns laut den Ergebnissen verbessern? Wie können wir Risiken vorbeugen?
   
   
8. Management-Review. Sind Ziele und allgemeine Ausrichtung des ISMS noch angemessen, oder ist ein Kurswechsel vonseiten des Managements nötig? Dies sollte mindestens einmal pro Jahr geprüft werden. 
   
   

Fazit

Jedem sollte klar sein, dass man ein gutes ISMS nicht aus dem Ärmel schüttelt. Der Aufbau, die Umsetzung, die Erhaltung und die kontinuierliche Verbesserung sind enorm aufwändig und schlucken hohe monetäre und personelle Ressourcen und erfordern viel Fachkenntnis und Durchhaltevermögen. Im Rahmen von NIS-2 sind bestimmte Unternehmen gesetzlich verpflichtet ist ein ISMS zu besitzen. Aber wenn Unternehmen nach den Prinzipen leben und sie entsprechend anwenden, bietet es ein tolles Werkzeug für nachhaltigen Erfolg.

Find us on social media as well!