ISMS: Was versteht man darunter?

Ein ISMS hilft einer Organisation bei der Datenverwaltung. Ziel ist es, die vorgegebenen Schutzziele der Informationssicherheit zu erfüllen. Diese beinhalten die

  • Vertraulichkeit

  • Integrität

  • Verfügbarkeit

von Daten für Kunden zu gewährleisten.

Ein ISMS gemäß ISO 27001 besteht aus Richtlinien, Verfahren und Maßnahmen sowie den für die Umsetzung erforderlichen Mitarbeitenden, Prozessen und Technologien.

Die Implementierung eines ISMS kann ein zeitaufwendiger und recht anspruchsvoller Prozess mit mehreren Phasen und vielen Stakeholdern sein. Selbst wenn keine Zertifizierung angestrebt wird, kann eine Organisation, welche die ISO 27001-Norm befolgt, von ISMS-Best Practices profitieren.

 

Roadmap für die ISMS-Implementierung nach ISO 27001

Vorab: Bei den angegebenen Zeiträumen handelt es sich um Erfahrungswerte. Gesammelt haben wir sie in der Zusammenarbeit mit Unternehmen auf dem Weg zur ISO 27001-Zertifizierung. Am Ende ist Ihr Engagement der entscheidende Faktor für die Frage, wie schnell die einzelnen Schritte zur Zertifizierung abgeschlossen sind. Die komplette Checkliste der ISO 27001 Implementierung können Sie hier kostenlos herunterladen.  

Schritt 1: Stellen Sie Ihr Team zusammen

Damit die Einführung eines ISO 27001-ISMS gelingt, muss eine dafür zuständige Person oder der Projektmanager die Initiative vorantreiben. Er oder sie ist dafür verantwortlich, das Projekt erfolgreich aufzusetzen und das passende Team zusammenzustellen. Dieses Team sollte die Ziele, die Vision und den gewünschten zeitlichen Rahmen des Projekts gemeinsam bestimmen. Dabei sollten auch alle relevanten Stakeholder im Unternehmen sowie die Rollen und Verantwortlichkeiten innerhalb des Teams in Form einer RACI-Matrix definiert werden.

Voraussichtlicher Zeitaufwand: 2-4 Wochen

Ergebnisse: RACI-Matrix des Projektteams, Entwurf der Erklärung zur Anwendbarkeit und der Dokumentation zum Anwendungsbereich.

 

Schritt 2: Definieren Sie den Anwendungsbereich und erstellen Sie einen Entwurf Ihrer Informationssicherheitsrichtlinie

Die ISO 27001 gibt keine bestimmte Methode zur Implementierung vor. Die Erfahrung zeigt: Am besten beginnen Sie damit, den Anwendungsbereich zu definieren. Soll das ISMS Ihr gesamtes Unternehmen einbeziehen oder bloß einen Standort, ist es auf eine Dienstleistung fokussiert oder hat es einen anderen Teilumfang?

Anschließend erstellen Sie Ihre Informationssicherheitsrichtlinie. In dieser beschreiben Sie, was Ihr Team erreichen will und auf welche Weise. Stellen Sie sicher, dass die Geschäftsleitung voll hinter der Richtlinie steht und Sie mit ausreichenden Ressourcen unterstützt. Sie sollten zudem Dokumente entwerfen, in denen die Haltung Ihres Unternehmens zu bestimmten Punkten beschrieben wird: etwa, wenn es um die Verwaltung mobiler Geräte geht, um die physische Sicherheit Ihrer Einrichtungen und die Benutzerzugangsverwaltung.

Voraussichtlicher Zeitaufwand: 2-3 Wochen

Ergebnisse: Informationssicherheitsrichtlinie, Schulungsplan für Mitarbeiter sowie der Entwurf von Unterlagen zur Dokumentation der Effektivität Ihrer Maßnahmen.

Vector-1

ISO 27001-Zertifizierung und DSGVO-Compliance sind entscheidend, um den langfristigen Erfolg unseres Unternehmens zu sichern.

Calin Coman-Enescu
Behaviour Lab

100% unserer Kunden bestehen die
ISO 27001-Zertifizierung beim ersten Mal

Jetzt zertifizieren

Schritt 3: Identifizieren und minimieren Sie Risiken

Die Risikobewertung ist die wahrscheinlich komplexeste Aufgabe des gesamten Projekts. Sie müssen Regeln festlegen, anhand derer Sie Risiken und deren Auswirkungen auf Ihr Geschäft identifizieren sowie deren Eintrittswahrscheinlichkeiten bestimmen. Zudem müssen Sie als Team definieren, welches Risikoniveau akzeptabel ist. Das Ergebnis fällt je nach Unternehmen unterschiedlich aus und hängt von der individuellen Risikobereitschaft ab. Ziel sollte es sein, ein für Sie und Ihr Unternehmen akzeptables Niveau festzulegen.

Voraussichtlicher Zeitaufwand: 4-8 Wochen

Ergebnisse: Prozesse für das Risikomanagement, Pläne für die Risikobewertung und
-behandlung sowie eine Bewertung der Kontrolllücken in der Informationssicherheit.

 

Schritt 4: Implementieren Sie die Prozesse

Implementieren Sie Ihre Prozesse, indem Sie Schulungen und Sensibilisierungsprogramme für Mitarbeiter durchführen sowie Kontrollmechanismen und verpflichtende Verfahren etablieren. Dabei gewinnen Sie zunehmend mehr Klarheit über Ihre Prozesse, sodass Sie Ihre bereits bestehende Dokumentation gegebenenfalls erweitern oder entsprechend anpassen müssen.

Voraussichtlicher Zeitaufwand: 10-25 Wochen

Ergebnisse: Handbuch zum Informationssicherheits-Managementsystem (ISMS), neue Richtlinien zur Informationssicherheit, aktualisierter Audit-Plan für die interne Informationssicherheit, aktualisierte Pläne für die Risikobewertung und -behandlung usw.

 

Schritt 5: Messen, monitoren und überprüfen

Überprüfen Sie, wie es um Ihr Informationssicherheits-Managementsystem (ISMS) bestellt ist. Welche Vorfälle sind aufgetreten und wie viele? Haben Sie alle internen Audits durchgeführt? Welche Maßnahmen sind daraus hervorgegangen? Welche Leistungskennzahlen (KPIs) sollten Sie messen? An dieser Stelle werden die definierten Ziele auf den Prüfstand gestellt. Entwickeln Sie einen Prozess, wie Sie die erforderlichen Anforderungen festlegen, überprüfen und aufrechterhalten, um Ihre ISMS-Ziele zu erreichen.

Überwachen, messen, analysieren und evaluieren Sie Ihr Programm. Eine gängige Methode ist die quantitative Analyse, bei der Sie allem, was Sie messen, eine Zahl zuweisen. Alternativ können Ihre Ergebnisse rein auf Einschätzungen beruhen. Wir empfehlen Ihnen, diesen Schritt mindestens einmal jährlich durchführen, um die sich ständig wechselnde Bedrohungs- und Risikolage im Blick zu behalten.

Voraussichtlicher Zeitaufwand: 6-12 Wochen

Ergebnisse: Definition von Messgrößen und Leistungskennzahlen (KPIs) für die Informationssicherheit, interner Audit-Bericht, Erstellung des Jahresberichts und der Präsentation für wichtige Stakeholder, Plan bzw. Pläne für Korrekturmaßnahmen und kontinuierliche Verbesserungen.

 

Schritt 6: Zertifizierung

Sobald Ihr ISMS erfolgreich eingerichtet ist, können Sie die ISO 27001-Zertifizierung durch einen externen Auditor anstreben. Es gibt zahlreiche Auditoren, aus denen Sie auswählen können – darunter sind zum Beispiel die großen TÜV-Organisationen.

Um wertvolle Feedbacks zu bekommen, sollten Sie einen Auditor wählen, der Erfahrung mit Ihrer Branche hat. Das Audit wird in zwei Phasen durchgeführt. In der ersten Phase wird geprüft, ob Ihr ISMS ISO 27001-konform ausgearbeitet wurde. Bewertet der Auditor diese Voraussetzung als erfüllt, wird er eine genauere Untersuchung durchführen, zu der auch ein Besuch vor Ort gehört. Wichtig: Sie sollten von Ihren Prozessen überzeugt sein, bevor Sie sich einem Audit unterziehen. Die Auditierungskosten fallen auch dann an, wenn Sie in der ersten Phase scheitern.

Voraussichtlicher Zeitaufwand: 4 Wochen

Ergebnisse: Vorbereitungsplan für das Zertifizierungsaudit, Aktionspläne zur Behebung von Nichtkonformitäten.

Dokumentation anhand einer ISO 27001 Checkliste

Obwohl die ISO 27001-Zertifizierung nicht immer gesetzlich vorgeschrieben ist, bringt sie verschiedene Vorteile mit sich. Mit einem zertifiziertem ISMS fällt das Einhalten gesetzlicher Auflagen leicht. Zudem erbringen Sie damit einen Nachweis über Ihre Sicherheitsmaßnahmen und unterstreichen für Kunden sichtbar die Zuverlässigkeit Ihres Unternehmens. 

Angesichts der Fülle an Fragestellungen, die mit einer Zertifizierung verbunden sind, haben wir für Sie eine herunterladbare Checkliste zusammengestellt. Diese bietet Ihnen einen Überblick über alle für die ISO 27001-Zertifizierung erforderlichen Unterlagen und enthält außerdem wertvolle Tipps für die Vorbereitung auf das Audit. 

 

Umsetzung der ISO 27001 Controls und Aufbau eines ISMS 

In bis zu 3 Monaten machen wir Sie bereit für das ISO 27001 Audit. 

Reduzieren Sie dabei Ihren manuellen Aufwand um bis zu 75% 

Laden Sie jetzt Ihren kostenlosen Leitfaden herunter
DG Seal ISO 27001

Welche Mitarbeiter haben welche Rolle in einem Implementierungsprojekt?

In kleinen bis mittelgroßen Organisationen fungiert der Projektleiter in der Regel auch als Sicherheitsbeauftragter, während der Projektleiter in einer großen Organisation nur das Projekt leitet.

Die Organisation verfügt in der Regel über einen separaten Sicherheitsbeauftragten, der für die allgemeine Sicherheit verantwortlich ist und zugleich an dem Projekt mitwirkt. 

Unabhängig von der Größe Ihrer Organisation müssen Sie zudem einige Ihrer Mitarbeiter in die folgenden Tätigkeiten einbeziehen:

  • Risikobewertung – Ermittlung des Umfangs und der Art des Risikos für Ihre Daten

  • Risikobehandlung – Festlegung der anzuwendenden Risikominderungsstrategien

  • Überprüfung der Richtlinien und Verfahren – die Sicherheitsrichtlinien müssen zu den aktuellen Arbeitsmethoden der Organisation passen

  • Genehmigung der Sicherheitsziele, der Dokumentation und der erforderlichen Ressourcen – Wahrung der strategischen Ausrichtung und des entsprechenden Engagements der Organisation

Abteilungsleiter können die ersten drei oben genannten Aufgaben übernehmen, zuständig für die letzte Aufgabe ist die obere Führungsebene, z. B. der CEO, COO oder CTO eines größeren Unternehmens.

 

Wie hoch ist der Aufwand für die Implementierung und Instandhaltung des ISMS?

In einer größeren Organisation wird der interne, für den Implementierungsprozess zuständige Projektleiter etwa 25 % seiner Zeit für das gesamte Projekt aufwenden müssen.

Je größer die Organisation ist, desto mehr Zeit muss der Projektleiter investieren. In einer Organisation mit 500-1000 Mitarbeitern dürfte der Projektleiter beispielsweise bereits in Vollzeit an der Umsetzung eines ISMS gemäß ISO 27001 mitwirken. 

In größeren Unternehmen sind in der Regel sowohl ein Projektleiter als auch ein Sicherheitsbeauftragter tätig, die beide in etwa gleich viel Zeit für das Projekt aufwenden sollten.

Die ISO 27001-Zertifizierung endet nicht mit der Implementierung. Es handelt sich vielmehr um einen kontinuierlichen Prozess, bei dem das einmal aufgebaute ISMS ständig gepflegt und verbessert werden muss.

Falls sich Ihre Organisation dafür entscheidet, einen externen Berater mit der Umsetzung eines ISO 27001-ISMS zu betrauen, müssen Sie sich nur um die Überprüfung und Genehmigung der Dokumentation kümmern. DataGuard unterstützt Sie in diesem Fall gerne als externer Berater.

Angebot anfordern

Wie viel Zeit ist für die initiale Implementierung erforderlich?

Sobald Sie Ihre ISO 27001-Zertifizierung angestoßen haben, werden Sie die meiste Zeit wahrscheinlich mit der Planungs- und Umsetzungsphase verbringen. So benötigen Sie zum Beispiel Zeit, um sich mit der Zertifizierung vertraut zu machen, ein internes oder externes Team zusammenzustellen, den Prozess zu starten und gemeinsam mit dem Team die erste Bedarfsanalyse durchzuführen.

Die nachfolgenden Zeitschätzungen gelten für Organisationen, die für die Zertifizierung mit einem externen Berater zusammenarbeiten. Falls Ihre Organisation die Zertifizierung allein mit einem internen Team anstrebt, ist der Zeitaufwand vermutlich deutlich größer.

Der Zeitaufwand für die initiale Implementierung hängt von der Größe Ihrer Organisation ab:

  • Unternehmen mit 1 bis 20 Mitarbeitern – bis zu 3 Monate

  • Unternehmen mit 20 bis 50 Mitarbeitern – 3 bis 5 Monate

  • Unternehmen mit 50 bis 200 Mitarbeitern – 5 bis 8 Monate

  • Über 200 Mitarbeiter – 8 bis 20 Monate


Welches sind die wichtigsten Erfolgsfaktoren für ein ISO 27001-Projekt?

Viele Organisationen sind sich nicht bewusst, dass ein von Beginn an effektiver Aufbau eines ISMS die Voraussetzung dafür ist, die Implementierung innerhalb des Zeit- und Budgetrahmens abschließen zu können.

  • Unterstützung durch das Management ist erforderlich

    In diesem Prozess übernehmen Sie die aktive Rolle: Zunächst gilt es, die für Ihre Organisation relevanten Vorteile zu erkennen. Diese müssen Sie den Entscheidungsträgern konsequent vermitteln und sich deren Zustimmung holen. 

  • In das Thema einlesen – Fachwissen aneignen

    Falls Sie in Ihrer Organisation noch nicht nach ISO 27001 arbeiten, müssen Sie zunächst lernen und verstehen, worum es in der Norm genau geht und wie Sie die Anforderungen in Ihrer Organisation umsetzen können.

Eine vollständige Übersicht über Die ISO 27001 erhalten Sie in unserem Artikel ISO 27001: alles Standard für Informationssicherheit 

  • Implementierung als Projekt planen

    Die Implementierung der ISO 27001-Standards ist ein langwieriger Prozess, daher sollten Sie vorausschauend planen. Wer die Umsetzung unbedacht und ohne klare Zielsetzung angeht, vergeudet wertvolle Zeit und Chancen.


  • Auswahl des geeigneten Projektleiters

Für die Projektleitung eignet sich am besten eine Person, die in Ihrem Unternehmen für die Informationssicherheit zuständig ist. Dies kann je nach Nomenklatur Ihr Chief Information Security Officer (CISO), Informationssicherheitsbeauftragter (ISO), Sicherheitsmanager oder eine Person in vergleichbarer Funktion sein.

 

Was sind die vier wichtigsten Vorteile eines ISMS gemäß ISO 27001?

Vermutlich lautet die erste Frage, die Ihnen von der Unternehmensleitung gestellt wird, wenn Sie Investitionen in die Verbesserung und Aufrechterhaltung der Informationssicherheit in Ihrer Organisation anregen: „Warum sollten wir die Informationssicherheit überhaupt verbessern?“  

Wir beschreiben die vier Hauptvorteile eines ISO 27001-konformen ISMS und liefern Ihnen Argumente, mit denen Sie Ihr Management von der Zweckmäßigkeit und vom Nutzen dieser Investition überzeugen. Diese lauten:

  • Compliance
    Wenn eine Organisation eine Vielzahl von Normen im Datenschutz und zum Schutz der Privatsphäre einhalten muss, ist der ISO 27001-Standard die wohl effektivste Grundlage dafür. 

  • Vorsprung durch Marketing
    In einem immer stärker umkämpften Markt brauchen Unternehmen Differenzierungsmerkmale, um sich in den Augen potenzieller Kunden von den Mitbewerbern abzuheben. Das Erfüllen der ISO 27001 kann ein Punkt sein, der Sie von Ihren Mitbewerbern abhebt – insbesondere für Neukunden, die Wert auf umsichtige Daten-Handhabung legen.

  • Ausgabenreduktion
    Informationssicherheit wird meist als Kostenfaktor ohne offenkundigen finanziellen Nutzen wahrgenommen. Wenn Sie das Thema Compliance jedoch ernst nehmen und sich an die Bestimmungen halten, reduzieren Sie die Wahrscheinlichkeit einer Datenschutzverletzung systematisch und senken Ihr Risiko.

    Im Falle eines Datenschutzverstoßes können Bußgelder in Höhe von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes erhoben werden – je nachdem, welcher dieser Beträge höher ist.

  • Ordnung und Struktur in der Organisation
    Der ISO 27001-Standard verpflichtet Sie dazu, die verschiedenen Rollen und Zuständigkeiten innerhalb Ihrer Organisation sehr genau zu definieren. Dies wiederum stärkt und verbessert die Struktur Ihres internen Teams bis hin zur Geschäftsleitungsebene.

    Wenn es Ihnen gelingt, die genannten Vorteile nachvollziehbar darzustellen und sie Ihrer Geschäftsführung zu vermitteln, wird diese die Bedeutung der ISO 27001-Zertifizierung erkennen und grünes Licht für die Umsetzung geben.




Wie viel kostet die Implementierung?

Schon die Kosten für eine einfache Compliance-Zertifizierung vorzusagen, gestaltet sich schwierig. Eine Zertifizierung gemäß ISO 27001 ist besonders variabel und in der Kalkulation noch komplexer. Es empfiehlt sich, so bald wie möglich mit der Compliance Journey für den ISMS-Aufbau zu beginnen, um die mit einer verzögerten Umsetzung verbundenen Kosten zu minimieren.

Die tatsächlichen Umsetzungskosten für ein ISMS gemäß ISO 27001 hängen von der Risikotoleranz der Organisation und der Höhe des zu tragenden Risikos ab. Allerdings sind vor allem drei Kostenarten zu berücksichtigen:

  • die Kosten für interne und externe Ressourcen,

  • die Kosten für die Umsetzung und

  • die Kosten für die Zertifizierung.

Abgesehen von den oben genannten Faktoren sind die Gesamtkosten der Durchführung von folgenden Faktoren abhängig:

  • Die Größe Ihrer Organisation oder die Mitarbeiteranzahl

  • Der Stellenwert der Informationen

  • Die von der Organisation eingesetzte Technologie

  • Gesetzliche Anforderungen


Worauf Sie bei ISO 27001-Implementierungstools achten sollten?

Falls Sie vorhaben, die Implementierung mit einem internen Team und ohne externe Unterstützung anzugehen, empfiehlt sich der Einsatz geeigneter Tools sowie das Verfolgen entsprechender ISO 27001 Checklisten. Es unterstützt Sie mit einer strukturierten Vorgehensweise und beim Verwalten des Implementierungsprojekts.  

Bevor Sie sich jedoch für eine Softwarelösung entscheiden, sollten Sie bedenken, dass nicht jedes Tool auf Ihre Bedürfnisse zugeschnitten ist. Aus diesem Grund sollten Sie ein Tool auswählen, das über die erforderlichen Funktionen für die angestrebte Umsetzung verfügt und das nötige Know-how für die Einhaltung der ISO 27001-Anforderungen enthält. 

Sie benötigen eine Plattform, mit der Folgendes gewährleistet ist:

  • Klar beschriebene Prozesse zur Umsetzung der ISO 27001 in Ihrem Projekt.

  • Verwendung einer leicht verständlichen Sprache in der gesamten Dokumentation.

  • Die Erklärung zur Anwendbarkeit muss automatisch auf Basis der Risikobehandlung und der Bedürfnisse der interessierten Parteien ausgefüllt werden.

  • Einfache Zusammenarbeit zwischen allen an der Implementierung der ISO 27001 beteiligten Personen.

  • Vermittlung eines klaren Bildes von allen Aufgaben, für die Sie verantwortlich sind bzw. die Sie delegiert haben, sowie vom jeweiligen Status.

  • Möglichkeiten zur Automatisierung: bei der initialen Einführung des ISMS ebenso wie bei seiner laufenden Instandhaltung.

  • Anpassung an die Größe Ihres Unternehmens. Die schriftlichen Unterlagen und der Ablauf der Verfahren sind auf die Größe Ihrer Organisation zugeschnitten.

  • Unterstützung durch erfahrene Experten. Falls Sie Fragen haben, wie Sie in Ihrem speziellen Fall vorgehen können.

  • Aufklärung über Sicherheitsfragen für alle Beteiligten. Es geht nicht nur darum, Menschen rein technisch zu bitten, bestimmte Aufgaben zu erledigen, sondern auch darum, ihnen Sinn und Zweck dieser Aufgaben zu erklären.

Zu den wichtigsten Anforderungen bei der Auswahl eines ISO 27001-Implementierungstools gehört ferner, dass Expertenmeinungen zur korrekten Anwendung der Norm in das Tool integriert sind. Mit anderen Worten: Das Tool muss von ISO 27001-Experten erstellt werden, nicht allein von Designern und Softwareentwicklern.

Fazit

Ihre Kunden profitieren von der ISO 27001-Zertifizierung, da diese das Vertrauen in das Unternehmen rechtfertigt und das Risiko verringert, dass personenbezogene oder geschäftsrelevante Daten in falsche Hände geraten. Die Zertifizierung lässt sich leichter umsetzen, wenn Ihre Organisation über einen gut strukturierten Plan, eine Checkliste für die Implementierung der ISO 27001 Vorgaben verfügt und von einem Experten beraten wird.

Unabhängig davon, ob Sie branchenspezifische Informationen, Support bei der Einrichtung Ihres ISMS oder Unterstützung bei der Vorbereitung auf ein externes Audit benötigen – mit dem InfoSec-as-a-Service von DataGuard erhalten Sie stets die beste Unterstützung. Kontaktieren Sie unsere Experten und vereinbaren Sie einen kostenfreien Termin für eine individuelle ISO 27001-Beratung.

Angebot anfordern
Demo buchen