ISMS: Was versteht man darunter?

Ein ISMS hilft einer Organisation bei der Datenverwaltung. Ziel ist es, die vorgegebenen Schutzziele der Informationssicherheit zu erfüllen. Diese beinhalten, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten. 

Ein ISMS gemäß ISO 27001 besteht aus Richtlinien, Verfahren und Maßnahmen sowie den für die Umsetzung erforderlichen Mitarbeitenden, Prozessen und Technologien. 

Die Implementierung eines ISMS kann ein zeitaufwendiger Prozess sein, der die Beteiligung vieler Stakeholder erfordert, doch die Bemühungen zahlen sich aus. Selbst wenn keine Zertifizierung angestrebt wird, kann eine Organisation bei der Einrichtung ihres ISMS von den Best Practices der ISO 27001-Norm profitieren.

Roadmap für die ISMS-Implementierung nach ISO 27001

Vorab: Bei den angegebenen Zeiträumen handelt es sich um Erfahrungswerte. Gesammelt haben wir sie in der Zusammenarbeit mit Unternehmen auf dem Weg zur ISO 27001-Zertifizierung. Am Ende ist Ihr Engagement der entscheidende Faktor für die Frage, wie schnell die einzelnen Schritte zur Zertifizierung abgeschlossen sind. 

Schritt 1: Stellen Sie Ihr Team zusammen

Damit die Einführung eines ISMS nach ISO 27001 gelingt, muss eine dafür zuständige Person oder der Projektmanager die Initiative vorantreiben. Diese Person ist dafür verantwortlich, das Projekt erfolgreich aufzusetzen und das passende Team zusammenzustellen. Das Team sollte die Ziele, die Vision und den gewünschten zeitlichen Rahmen des Projekts gemeinsam bestimmen. Dabei sollten auch alle relevanten Stakeholder im Unternehmen sowie die Rollen und Verantwortlichkeiten innerhalb des Teams in Form einer RACI-Matrix definiert werden.

Übersicht: 

• Voraussichtlicher Zeitaufwand: 2 - 4 Wochen 

• Ergebnisse: RACI-Matrix des Projektteams, Entwurf der Erklärung zur Anwendbarkeit und der Dokumentation zum Anwendungsbereich 
  

Schritt 2: Definieren Sie den Anwendungsbereich und erstellen Sie einen Entwurf Ihrer Informationssicherheitsrichtlinie

Die ISO 27001 gibt keine bestimmte Methode zur Implementierung vor. Die Erfahrung zeigt: Am besten beginnen Sie damit, den Anwendungsbereich zu definieren. Soll das ISMS Ihr gesamtes Unternehmen einbeziehen oder nur einen Standort? Ist es auf eine Dienstleistung fokussiert oder hat es einen anderen Teilumfang? 

Anschließend erstellen Sie Ihre Informationssicherheitsrichtlinie. In dieser beschreiben Sie, was Ihr Team erreichen will und auf welche Weise. Stellen Sie sicher, dass die Geschäftsleitung hinter der Richtlinie steht und Sie mit ausreichenden Ressourcen unterstützt. Sie sollten zudem Dokumente erstellen, in denen die Haltung Ihres Unternehmens zu bestimmten Punkten beschrieben wird. Hierzu zählt unter anderem die Verwaltung mobiler Geräte, die physische Sicherheit Ihrer Einrichtungen und die Benutzerzugangsverwaltung.

Übersicht: 

• Voraussichtlicher Zeitaufwand: 2 - 3 Wochen 

• Ergebnisse: Informationssicherheitsrichtlinie, Schulungsplan für Mitarbeitende und der Entwurf von Unterlagen zur Dokumentation der Effektivität Ihrer Maßnahmen 

Schritt 3: Identifizieren und minimieren Sie Risiken

Die Risikobewertung zählt zu den komplexesten Aufgaben des Projekts. Sie müssen Regeln festlegen, um Risiken und deren Auswirkungen auf Ihr Geschäft zu identifizieren sowie deren Eintrittswahrscheinlichkeiten zu bestimmen. Zudem müssen Sie als Team definieren, welches Risikoniveau für Ihre Organisation akzeptabel ist. Das Ergebnis fällt je nach Unternehmen unterschiedlich aus und hängt von der individuellen Risikobereitschaft ab. Ziel sollte es sein, ein für Sie und Ihr Unternehmen akzeptables Niveau festzulegen. 

Übersicht: 

• Voraussichtlicher Zeitaufwand: 4 - 8 Wochen 

• Ergebnisse: Prozesse für das Risikomanagement, Pläne für die Risikobewertung und -behandlung sowie eine Bewertung der Informationssicherheitslücken 

Schritt 4: Implementieren Sie die Prozesse

Implementieren Sie Ihre Prozesse, indem Sie Schulungen und Sensibilisierungsprogramme für Mitarbeitende durchführen sowie Kontrollmechanismen und verpflichtende Verfahren etablieren. In dieser Phase gewinnen Sie zunehmend mehr Klarheit über Ihre Prozesse. Deshalb müssen Sie Ihre bereits bestehende Dokumentation gegebenenfalls erweitern oder entsprechend anpassen. 

Übersicht: 

• Voraussichtlicher Zeitaufwand: 10 - 25 Wochen 

• Ergebnisse: Handbuch zum Informationssicherheits-Managementsystem (ISMS), neue Richtlinien zur Informationssicherheit, aktualisierter Audit-Plan für die interne Informationssicherheit, aktualisierte Pläne für die Risikobewertung und -behandlung usw. 

Schritt 5: Messen, analysieren und überprüfen

Überprüfen Sie, wie es um Ihr Informationssicherheits-Managementsystem (ISMS) bestellt ist. Wie viele und welche Vorfälle sind aufgetreten? Haben Sie alle internen Audits durchgeführt? Welche Maßnahmen sind daraus hervorgegangen? Welche Leistungskennzahlen (KPIs) sollten Sie messen? An dieser Stelle werden die definierten Ziele auf den Prüfstand gestellt. Entwickeln Sie einen Prozess, wie Sie die notwendigen Anforderungen festlegen, überprüfen und aufrechterhalten, um Ihre ISMS-Ziele zu erreichen. 

Überwachen, messen, analysieren und evaluieren Sie Ihr Programm. Eine gängige Methode ist die quantitative Analyse, bei der Sie allem, was Sie messen, eine Zahl zuweisen. Alternativ können Ihre Ergebnisse auch auf Einschätzungen beruhen. Wir empfehlen Ihnen, diesen Schritt mindestens einmal jährlich durchzuführen, um einen effektiven Schutz vor den sich ständig ändernden Bedrohungen aufrechtzuerhalten. 

Übersicht: 

• Voraussichtlicher Zeitaufwand: 6 - 12 Wochen 

• Ergebnisse: Definition von Messgrößen und Leistungskennzahlen (KPIs) für die Informationssicherheit, interner Audit-Bericht, Erstellung des Jahresberichts und der Präsentation für wichtige Stakeholder, Pläne für Korrekturmaßnahmen und kontinuierliche Verbesserungen 

Schritt 6: Zertifizierung

Sobald Ihr ISMS erfolgreich eingerichtet ist, können Sie die ISO 2700-Zertifizierung durch einen externen Auditor anstreben. Es gibt zahlreiche Auditoren, aus denen Sie auswählen können, wie zum Beispiel die TÜV-Organisationen. Bei der Auswahl ist es empfehlenswert, einen Auditor zu wählen, der Erfahrung mit Ihrer Branche hat. 

Das Audit wird in zwei Phasen durchgeführt. In der ersten Phase wird geprüft, ob Ihr ISMS gemäß ISO 27001 ausgearbeitet wurde. Bewertet der Auditor diese Voraussetzung als erfüllt, wird er eine genauere Untersuchung durchführen, zu der auch ein Besuch vor Ort gehört. Wichtig: Sie sollten von Ihren Prozessen überzeugt sein, bevor Sie sich einem Audit unterziehen. Die Kosten für das Audit fallen auch dann an, wenn Sie in der ersten Phase scheitern. 

Übersicht: 

• Voraussichtlicher Zeitaufwand: 4 Wochen 

• Ergebnisse: Vorbereitungsplan für das Zertifizierungsaudit, Aktionspläne zur Behebung von Nichtkonformitäten 

Laden Sie Ihre ISO 27001-Roadmap herunter und erhalten Sie einen ausführlichen Überblick über den gesamten Prozess.  

Dokumentation anhand einer ISO 27001 Checkliste

Die ISO 27001-Zertifizierung ist zwar nicht für jedes Unternehmen verpflichtend, doch sie bietet Organisationen unabhängig davon viele Vorteile. Mit einem zertifizierten ISMS fällt das Einhalten gesetzlicher Auflagen leichter. Zudem erbringen Sie damit einen Nachweis über Ihre Sicherheitsmaßnahmen und signalisieren für Kunden sichtbar die Zuverlässigkeit Ihres Unternehmens. 

Angesichts der Fülle an Anforderungen, die mit einer Zertifizierung verbunden sind, haben wir für Sie eine übersichtliche Checkliste zum Herunterladen zusammengestellt. Diese bietet Ihnen einen Überblick über alle erforderlichen Unterlagen für die ISO 27001-Zertifizierung und enthält wertvolle Tipps für die Vorbereitung auf das Audit. 

Welche Mitarbeitenden haben welche Rolle in einem Implementierungsprojekt?

In kleinen bis mittelgroßen Organisationen agiert der Projektleiter in der Regel auch als Sicherheitsbeauftragter. In großen Organisationen leitet der Projektleiter hingegen nur das Projekt. In diesem Fall verfügt das Unternehmen in der Regel über einen separaten Sicherheitsbeauftragten, der für die allgemeine Sicherheit verantwortlich ist und zugleich an dem Projekt mitwirkt.  

Unabhängig von der Größe Ihrer Organisation sollten Sie zudem einige Ihrer Mitarbeitenden in die folgenden Tätigkeiten einbeziehen: 

• Risikobewertung: Ermittlung des Umfangs und der Art des Risikos für Ihre Daten 

• Risikobehandlung: Festlegung der anzuwendenden Risikominderungsstrategien 

• Überprüfung der Richtlinien und Verfahren: Anpassen der Sicherheitsrichtlinien an die aktuellen Arbeitsmethoden der Organisation 

• Genehmigung der Sicherheitsziele, der Dokumentation und der erforderlichen Ressourcen: Wahrung der strategischen Ausrichtung und des entsprechenden Engagements der Organisation 

Abteilungsleiter können die ersten drei oben genannten Aufgaben übernehmen, zuständig für die letzte Aufgabe ist die obere Führungsebene, z. B. der CEO, COO oder CTO eines größeren Unternehmens.

Wie hoch ist der Aufwand für die Implementierung und Instandhaltung des ISMS?

In einer größeren Organisation wird der interne, für den Implementierungsprozess zuständige Projektleiter etwa 25 % seiner Zeit für das gesamte Projekt aufwenden müssen. Je größer die Organisation ist, desto mehr Zeit muss der Projektleiter investieren. In einer Organisation mit 500 bis 1.000 Mitarbeitenden dürfte der Projektleiter beispielsweise bereits in Vollzeit an der Umsetzung eines ISMS gemäß ISO 27001 mitwirken. Neben dem Projektleiter ist in größeren Unternehmen zudem ein Sicherheitsbeauftragter tätig. Beide sollten in etwa gleich viel Zeit für das Projekt aufwenden. 

Die ISO 27001-Zertifizierung endet jedoch nicht mit der Implementierung. Es handelt sich vielmehr um einen kontinuierlichen Prozess, bei dem das aufgebaute ISMS ständig gepflegt und verbessert werden muss.

Was sind die wichtigsten Erfolgsfaktoren für ein ISO 27001-Projekt?

Der effektive Aufbau eines ISMS von Beginn an ist die Voraussetzung dafür, die Implementierung innerhalb des geplanten Zeit- und Budgetrahmens abschließen zu können. Hier sind einige wichtige Faktoren, die den Erfolg Ihres ISO 27001-Projekts fördern. 

Unterstützung durch das Management  

In diesem Prozess übernehmen Sie die aktive Rolle: Zunächst gilt es, die für Ihre Organisation relevanten Vorteile zu erkennen. Diese müssen Sie den Entscheidungsträgern konsequent vermitteln und sich deren Zustimmung und Unterstützung einholen.  

In das Thema einlesen und Fachwissen aneignen 

Falls Sie in Ihrer Organisation noch nicht nach ISO 27001 arbeiten, müssen Sie zunächst lernen und verstehen, worum es in der Norm genau geht und wie Sie die Anforderungen in Ihrer Organisation umsetzen können. 

Eine vollständige Übersicht über die ISO 27001-Norm erhalten Sie hier. 

Implementierung als Projekt planen 

Die Implementierung der ISO 27001-Standards ist ein umfassender Prozess, daher sollten Sie vorausschauend planen. Indem Sie die Umsetzung mit einer klaren Zielsetzung planen, können Sie effektiv Ressourcen sparen. 

Auswahl des geeigneten Projektleiters 

Für die Projektleitung eignet sich am besten eine Person, die in Ihrem Unternehmen für die Informationssicherheit zuständig ist. Dies kann Ihr Chief Information Security Officer (CISO) / Informationssicherheitsbeauftragter (ISB), Sicherheitsmanager oder eine Person in vergleichbarer Funktion sein. 

Welche Vorteile bietet ein ISMS gemäß ISO 27001?

Wenn Sie Investitionen in die Verbesserung und Aufrechterhaltung der Informationssicherheit in Ihrer Organisation anregen wollen, lautet die erste Frage von der Unternehmensleitung vermutlich: „Warum sollten wir die Informationssicherheit überhaupt verbessern?”

Erfahren Sie im Folgenden, welche vier Hauptvorteile ein ISO 27001-konformes ISMS bietet. 

Compliance 

Wenn eine Organisation eine Vielzahl von Normen beim Datenschutz einhalten muss, ist der ISO 27001-Standard die wohl effektivste Grundlage dafür. 

Wettbewerbsvorteil 

In einem immer stärker umkämpften Markt brauchen Unternehmen Differenzierungsmerkmale, um sich in den Augen potenzieller Kunden von den Mitbewerbern abzuheben. Das Erfüllen der ISO 27001 kann ein Punkt sein, der Ihnen einen Vorteil verschafft und Sie von Ihren Mitbewerbern abhebt – insbesondere für Neukunden, die Wert auf einen sicheren Umgang mit Ihren Daten legen. 

Bußgelder vermeiden 

Informationssicherheit wird häufig als Kostenfaktor ohne unmittelbaren finanziellen Nutzen wahrgenommen. Wenn Sie das Thema Compliance jedoch ernst nehmen und sich an die Bestimmungen halten, reduzieren Sie die Wahrscheinlichkeit einer Datenschutzverletzung systematisch und senken Ihr Risiko. 

Im Falle eines Datenschutzverstoßes können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes erhoben werden – je nachdem, welcher dieser Beträge höher ist. Ein effektives Informationssicherheits-Managementsystem (ISMS) kann Sie dabei unterstützen, diese finanziellen Konsequenzen zu vermeiden. 

Das ISMS ist auch eine Vorgabe, die bei der NIS2-Richtlinie erfüllt werden muss. Das Ziel der EU-Richtlinie zur Netzwerk- und Informationssicherheit ist die Verbesserung der Cyber-Resilienz von Organisationen in relevanten Sektoren. Mit dem Aufbau eines ISO 27001-konformen ISMS erfüllen Sie etwa 70 % der NIS2-Anforderungen. Werden die strengen rechtlichen Anforderungen nicht eingehalten, drohen Bußgelder. 

Ordnung und Struktur in der Organisation 

Der ISO 27001-Standard verpflichtet Sie dazu, die verschiedenen Rollen und Zuständigkeiten innerhalb Ihrer Organisation genau zu definieren. Dies wiederum stärkt und verbessert die Struktur Ihres internen Teams bis hin zur Geschäftsleitungsebene. 

Wenn es Ihnen gelingt, die genannten Vorteile nachvollziehbar darzustellen und Ihrer Geschäftsführung zu vermitteln, wird diese die Bedeutung der ISO 27001-Zertifizierung erkennen und Sie bei der Umsetzung unterstützen. 

Wie viel kostet die Implementierung?

Es gestaltet sich allgemein schwierig, die Kosten für Zertifizierungen vorherzusagen. Eine Zertifizierung gemäß ISO 27001 ist besonders variabel und in der Kalkulation noch komplexer. 

Die Kosten für ein ISMS gemäß ISO 27001 hängen neben der Komplexität Ihrer Unternehmensstrukturen von der Risikotoleranz und der Höhe des zu tragenden Risikos ab. Übergeordnet sind vor allem drei Kostenarten zu berücksichtigen: 

• die Kosten für interne und externe Ressourcen 

• die Kosten für die Umsetzung 

• die Kosten für die Zertifizierung 

Worauf sollten Sie bei ISO 27001-Implementierungstools achten?

Bei der Implementierung der ISO 27001-Norm empfiehlt sich der Einsatz geeigneter Tools sowie die Orientierung an entsprechenden ISO 27001-Checklisten. Diese Hilfsmittel unterstützen Sie dabei, eine strukturierte Vorgehensweise beizubehalten, die Zertifizierung schnell zu erreichen und Ressourcen zu sparen. 

Die Plattform, die Sie zum Aufbau eines ISMS nach ISO 27001 einsetzen, sollte die folgenden Anforderungen erfüllen, um Sie effektiv bei Ihren Bemühungen zu unterstützen: 

• Klar beschriebene Prozesse zur Umsetzung der ISO 27001-Norm 

• Verwendung einer leicht verständlichen Sprache ohne Fachjargon in der gesamten Dokumentation 

• Einfache Zusammenarbeit zwischen allen beteiligten Personen 

• Ein klarer Überblick über alle Aufgaben, für die Sie verantwortlich sind und die Sie delegiert haben, einschließlich des aktuellen Status jeder Aufgabe 

• Möglichkeiten zur Automatisierung bei der initialen Einführung des ISMS und bei der laufenden Instandhaltung 

• Anpassung an die Größe Ihres Unternehmens bei der Erstellung von Dokumenten und dem Prozessablauf 

• Unterstützung durch erfahrene Experten bei konkreten Fragen

Fazit

Sie profitieren von der ISO 27001-Zertifizierung auf mehreren Ebenen. Mit der Einhaltung der Norm mindern Sie aktiv Risiken, schützen sich vor rechtlichen Konsequenzen und verschaffen sich einen Wettbewerbsvorteil, indem Sie das Vertrauen Ihrer Kunden in Ihre Sicherheitsstrategien erhöhen. Die Zertifizierung lässt sich leichter umsetzen, wenn Sie die Prozesse mithilfe einer Plattform effizienter gestalten und auf die Beratung von Experten vertrauen können. 

Mit der benutzerfreundlichen Plattform von DataGuard können Sie sich mit bis zu 75 % weniger manuellem Arbeitsaufwand auf die ISO 27001-Zertifizierung vorbereiten. Unsere Experten stehen Ihnen zur Seite, falls Sie Beratung benötigen. So sparen Sie Kosten, Zeit und Mühen beim Aufbau Ihres ISMS und erreichen schnell die ISO 27001-Zertifizierung. Kontaktieren Sie uns.