Information Security Management System

Was sind die Schritte zum Aufbau eines ISMS? 

Der Aufbau eines ISMS lässt sich in einzelne Prozessschritte gliedern: 

Leistungsumfang festlegen 

Der erste wichtige Schritt hin zum Aufbau eines ISMS ist die Festlegung des Leistungsumfangs. Dazu ist es notwendig, sowohl Anwendungsbereiche als auch Zielvorgaben sowie Grenzen ganz klar und eindeutig zu definieren. 

Zu schützende Werte ermitteln 

In einem weiteren Schritt erfolgt nun die Ermittlung der zu schützenden Werte, auch Assets genannt. Neben Software, Services und Computern können das auch Qualifikationen oder immaterielle Werte sein. Bei diesem Schritt ist es relevant, alle geschäftskritischen Assets zu ermitteln, die für das Unternehmen von grundlegender Bedeutung sind. 

Risikobewertung 

Als Nächstes folgt die Risikobewertung der schützenswerten Assets. Im Rahmen dieser Risikobewertung identifizieren Unternehmen entsprechend den gesetzlichen Anforderungen oder Compliance-Richtlinien mögliche Risiken und deren Auswirkungen. Dadurch erhalten Unternehmen einen umfassenden Überblick darüber, welche Risiken vertretbar sind und welche zwingend in Angriff genommen werden müssen. 

Auswahl der Maßnahmen 

Basierend auf der Risikobewertung werden geeignete organisatorische und technische Maßnahmen ausgewählt, die die bestehenden Risiken mindern sollen. Neben der Auswahl und Umsetzung der Maßnahmen ist auch die klare Definition von Zuständigkeiten und Verantwortlichkeiten in diesem Schritt unerlässlich. 

Regelmäßige Überprüfungen und Optimierungen 

Mithilfe von Audits oder anderen Werkzeugen lassen sich die umgesetzten Maßnahmen überwachen und hinsichtlich ihrer Wirksamkeit überprüfen. Sofern Mängel an den Maßnahmen erkannt oder neue Risiken identifiziert werden, ist es notwendig, Optimierungen vorzunehmen.