Was ist ein ISMS?

Posted on Veröffentlicht in Blog, Security News

Was ist ein ISMS?

Wir von mabunta (https://www.mabunta.de) helfen unseren Kunden Informationssicherheit zu leben.
Sicherheitsstandards wie z.B. ISO 27001 werden oft als zu komplex und als nicht wirklich praktikabel anwendbar abgestempelt. Tatsächlich bleiben sie eine Herausforderung aber eine, die es wert ist, näher betrachtet zu werden. Und gemeinsam mit dem richtigen Partner wird Informationssicherheit auch kontrollierbar, versprochen.

Managementsystem (http://www.iso.org/iso/home/standards/management-standards.htm) ist im Zusammenhang mit Standards ein häufig zu findender Begriff. Hört sich gut an, aber was verbirgt sich dahinter, was gilt es sich darunter vorzustellen?

Diese Frage steht als Grundgedanken für diesen Artikel – also gehen wir auf die Suche nach Antworten.

Die erste und auch offensichtliche Suche führt uns zu Wikipedia (http://de.wikipedia.org/wiki/Managementsystem). Dort findet sich folgende Erklärung:
„Jedes Unternehmen hat ein ‘Managementsystem’. Zumindest ein implizites. Sonst würde das Unternehmen nicht funktionieren. Immer wieder wird versucht, einzelne Methoden zu einem ‘System’ zu verbinden oder einfach die Steuer- und Kontroll-Mechanismen zu systematisieren (…)”

Wirklich aussagekräftig erscheint diese Erläuterung nicht. Gut, es gibt viele Managementsysteme und mehrere Standards dafür, und?
Qualitätsmanagement nach ISO 9000 oder Umweltmanagementsystem nach ISO 14000 seien exemplarisch benannt. Nachvollziehbare Normen, bei denen wohl Management auf jeden Fall benötigt wird. Anderseits, welche Standards erfordern kein Managementsystem?

Tauchen wir tiefer ein, stoßen wir auf die Begrifflichkeit IMS – integriertes Managementsystem. Die damit einhergehende Definition:
„Das Integrierte Managementsystem (IMS) fasst Methoden und Instrumente zur Einhaltung von Anforderungen aus verschiedenen Bereichen (z. B. Qualität, Umwelt- und Arbeitsschutz, Sicherheit) in einer einheitlichen Struktur zusammen, die der Corporate Governance (d. h. der Leitung und Überwachung von Organisationen) dienen.“
Anders formuliert, Unternehmensprozesse werden aus unterschiedlichen Blickwinkel betrachtet. So kann z.B. ein Fertigungsprozesse durch die Brille der Qualität, des Umweltschutzes oder des Risikos betrachtet werden.

Somit ergibt sich als einfache Umschreibung für ein Managementsystem – es überwacht Prozesse im Unternehmen und verwendet ein Bewertungssystem, um die Steuerungsmaßnahmen transparent sowie vergleichbar zu machen.

Aha – und woher kommt die scheinbare Notwendigkeit der Managementsysteme?

Entstanden sind die Managementsysteme aus der Zeit ab ca. 1990 als die Beweislastumkehr (§ 476 BGB) in der Produkthaftung eingeführt wurde. Die Hersteller waren dadurch gezwungen die Fehlerfreiheit ihrer Produkte im Streitfall zu beweisen. Und so etwas lässt sich nur mit einer lückenlosen Dokumentation des gesamten Produktionsprozess belegen. Und wie das so ist, es folgten weitere Gesetze die ebenfalls Managementsysteme vorschrieben (z.B. Störfallverordnung).

Daraus ergibt sich eine mögliche, wenn auch kompakte, Definition eines Managementsystem:
Ein Managementsystem ist die Summe aller planenden, entscheidenden, dokumentierenden Maßnahmen, Regelungen und Aktivitäten, die zur Erreichung einer Zielvorgabe beitragen.

Okay – verständlich aber selbst als eine allgemeine Formulierung noch recht kompakt. Anderseits ist mit dieser Definition mit Blick auf gesetzliche bzw. vertragliche Definitionen nachvollziehbar. Also belassen wir es bei dieser Definition. Und was hat es nun mit dem Informations-Sicherheits-Management-System auf sich?

Eigentlich ganz einfach. Das ISMS legt die Ziele der Informationssicherheit fest, kontrolliert diese und dokumentiert schlussendlich die Anforderungen die sich aus dem Ziel ergeben. Schauen wir zurück auf die Definition bezüglich eines IMS, ergibt sich die Aussage: im Falle eines integrierten Managementsystems werden die Prozesse des Unternehmens unter einem weiteren Blickwinkel angegangen – dem Blickwinkel der Informationssicherheit.

Ein ISMS ist die Summe der Aufgaben, Hilfsmittel, Nachweise und organisatorischen Abläufen, die es der Geschäftsführung ermöglichen, alle Handlungen bezüglich der Informationssicherheit zu steuern und zu dokumentieren.

Und am Ende steht der Anfang – des Artikels. IT-Sicherheit ist keine “Laune der Dienstleister”. Betreiber von IT-Systemen sind in der Nachweispflicht, ein gewisses Maß an Sicherheit, abhängig von der Unternehmensgröße, eingeführt zu haben. Es kann ja z.B. zu einem Datenschutzvorfall (Projekt Datenschutz) kommen. Tja und wie ist es dann möglich diesen Nachweis zu tätigen – natürlich mit einem ISMS.