Tutorial, Teil 2: Aufbau eines ISMS – Risikomanagement

Kleine und mittlere Unternehmen (KMU) haben oft mit ihren Managementsystemen zu kämpfen, denn die Prozesse und Regelwerke erscheinen für viele zu komplex und unflexibel. Schon der erste Teil dieses Tutorials hat gezeigt, dass das nicht zwangsläufig so sein muss. Nachdem dort das Erheben der Anforderungen beschrieben wurde, erläutert der folgende Artikel das Umsetzen derselben in Vorgaben und Aufgaben. Im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) ist dafür das Risikomanagement zuständig. Es erfasst die Schadensereignisse, die zu Verstößen gegen die Anforderungen führen können, als Risiken und legt Behandlungsmaßnahmen fest, die in Form von Vorgaben (etwa Informationssicherheitsrichtlinien) oder Aufgaben (beispielsweise Etablieren von Sicherheitsfunktionen oder -produkten) umgesetzt werden. Das Risikomanagement wagt also einen Blick in die Zukunft und beschäftigt sich mit der Frage: „Was wäre wenn?“

Wie schon der erste Teil stellt auch dieser zweite Teil wesentliche Inhalte eines ISMS vor. Er nimmt zwar Bezug auf aktuelle Standards, strebt aber keine Konformität dazu an. Die Anleitung soll helfen, die wesentlichen Grundlagen für ein solches System zu legen. Im Rahmen eines kontinuierlichen Verbesserungsprozesses lässt sich der Ausbau zur Zertifizierungsfähigkeit dann fortführen.