Viele Gründe sprechen derzeit für die Umsetzung eines Managementsystems für Informationssicherheit (IS) (engl.: ISMS, Information Security Management System).

Informationen sind schon seit jeher schützenswert, aber neue Gesetze und Richtlinien bringen frischen Wind in den verantwortungsvollen und bewussten Umgang mit Daten.

Beispielsweise das IT-Sicherheitsgesetz oder die ab Mai 2018 verschärfte Datenschutz-Grundverordnung (DSGVO) fordern mehr Dokumentation und stringente Prozesse ein.

In einigen Organisationsformen ist der Betrieb eines ISMS schon seit jeher obligatorisch, aktuell werden es mehr. Prominentes Beispiel sind Betreiber kritischer Infrastrukturen (KRITIS) wie Krankenhäuser und Energieversorger, die aufgrund der europäischen NIS-Richtlinie zum Handeln verpflichtet werden.

Grundsätzlich gibt es mehrere Methoden, um ein ISMS erfolgreich umzusetzen. Der IT-Grundschutz des BSI ist eine bekannte und bewährte Methodik. Allerdings erfreut sich das Vorgehen nach ISO27001 immer größerer Beliebtheit. Dies liegt zum einen daran, dass die Norm den Umsetzungsrahmen in Relation zur Notwendigkeit und den Prozessen der eigenen Organisation definiert. Dadurch ist sowohl die Detaillierung als auch der verbundene Aufwand zielgerichteter. Zum anderen wird die Norm im Zusammenhang mit der EU NIS-Richtlinie explizit erwähnt.

ISO27001 Anforderungen und was i-doit pro bereits erfüllt

Die Norm fordert als Basis, dass sich die Organisation über den Anwendungsbereich, die eingebundenen Personen und interessierten Parteien gewahr wird und diese dokumentiert. Ebenfalls müssen die Führungen und Verpflichtungen in Form von Rollen und Verantwortungen definiert, dokumentiert und veröffentlicht werden. Im Weiteren ist es erforderlich, eine methodische Informationssicherheitsrisiko-Beurteilung und -Behandlung zu etablieren.

Abgerundet werden die Forderungen  durch die Etablierung eines PDCA-Verbesserungszyklus (Plan-Do-Check-Act) sowie eine Dokumentenlenkung, die alle Änderungen nachvollziehbar macht.

Allen Methoden zur Realisierung eines ISMS ist die Kombination aus detaillierter Dokumentation und einem prozessgetriebenem Vorgehen gemein. Bei genauerer Betrachtung wird klar, daß ein modernes ISMS kein Datengrab ist – es ist der zentrale Dreh- und Angelpunkt für IS-relevante Prozesse und deren Dokumentation

Schauen wir uns die Anforderungen im Detail an:.

Um überhaupt einen Anwendungsbereich definieren zu können, muss zunächst eine Dokumentation über die IS-relevanten Assets und Services existieren. Hier komm