Tutorial: Informationssicherheitssystem ISMS prüfen und verbessern
Informationssicherheit ist ein im Unternehmen dauerhaft zu etablierender Prozess, der immer wieder überprüft und gegebenenfalls angepasst werden muss.
- Robert Manuel Beck
Der erste Teil des ISMS-Tutorials beschrieb, wie man Anforderungen an ein Unternehmen hinsichtlich eines Information Security Management System (ISMS) erfassen kann. Die Grundlage dafür bildeten unterschiedliche Quellen (Gesetzgeber, Kunden etc.), aus denen diese Anforderungen systematisch und kontinuierlich abgeleitet wurden. Der zweite Teil zeigte, wie man solche Anforderungen über das Risikomanagement in Vorgaben (zum Beispiel Richtlinien) und Aufgaben (zum Beispiel Umsetzung von Sicherheitsmaßnahmen) übersetzt. Dieser dritte und letzte Teil des Tutorials widmet sich nun dem Prüfen und Verbessern der Vorgaben und Aufgaben, aber auch des ISMS selbst. Es gilt zu schauen, an welchen Stellen es Abweichungen vom eigentlichen Ziel, also vom Einhalten der bestehenden Anforderungen, gibt. Darüber hinaus soll aber auch festgestellt werden, ob die etablierten Vorgehensweisen und Regelungen geeignet sind oder noch verbessert werden können.
Auch dieser Teil erhebt wie die beiden vorangehenden keinen Anspruch auf Zertifizierbarkeit nach einem bekannten ISMS-Standard (zum Beispiel ISO/IEC 27001 oder ISO 27001 auf der Basis von IT-Grundschutz). Es geht darum, erst einmal anzufangen und die ersten Schritte in Richtung ISMS zu unternehmen.
Es gibt unterschiedliche Wege, Managementsysteme zu prüfen und zu verbessern. Eine Variante ist die Messung durch Kennzahlen – sogenannte Key Performance Indicators (KPI). Diese können regelmäßig erhoben werden und ermöglichen es so, das Einführen von Vorgehensweisen oder Regelungen nachzuverfolgen. Gerade kleinere Unternehmen arbeiten oftmals nicht mit Kennzahlen und tun sich daher schwer, sie zu nutzen. Dabei verlassen auch sie sich unbewusst auf Kennzahlen. Denn um nichts anderes handelt es sich, wenn man Gewinn-und-Verlust-Rechnungen auswertet oder beurteilt, ob Unternehmens- oder Projektziele erreicht wurden.
Immer mehr Wissen. Das digitale Abo für IT und Technik.
OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln
High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität
Virtualisierungsoftware: Alternativen zu VMware
Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt
Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen
Wärmepumpe simpel und effektiv: Über die Rolle von Dämmung, Solar und Co.
Immer mehr Wissen. Das digitale Abo für IT und Technik.
OpenCore Legacy Patcher: Wie Sie alte Macs mit jungem macOS aufbrezeln
High-End-Smartphones im Kameravergleich: Wettkampf um die beste Bildqualität
Virtualisierungsoftware: Alternativen zu VMware
Was Windows 11 Version 24H2 Neues bringt – und was rausfliegt
Drei KI-Sprechtrainer im Test: Fremdsprache mit KI lernen