Das ISMS verstehen

Was ist ein ISMS?

Ein Informationssicherheits-Managementsystem (ISMS) ist nicht eine Software, die man installiert. Es ist die Summe aus Richtlinien, Prozessen, Rollen, Werkzeugen und Nachweisen, mit denen eine Organisation Informationssicherheit planvoll steuert. Der Begriff „System" meint hier ein Managementsystem – also eine geregelte Art zu arbeiten, vergleichbar mit einem Qualitätsmanagement.

ISO/IEC 27001 definiert das Ziel so: Das ISMS wahrt Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, indem es einen Risikomanagementprozess anwendet, und gibt interessierten Parteien Vertrauen in eine angemessene Steuerung der Risiken.

Die Bausteine eines ISMS

Der Geltungsbereich (Scope)

Jedes ISMS hat einen festgelegten Anwendungsbereich: Welche Standorte, Abteilungen, Prozesse und Systeme sind enthalten? Der Scope grenzt ab, worüber sich die Organisation Sorgen macht – und worüber der Auditor später urteilt. Ein zu enger Scope wirkt unglaubwürdig, ein zu weiter wird schnell unbeherrschbar. Mehr dazu in Klausel 4: Kontext.

Angemessenheit statt Maximalsicherheit

Ein zentrales Prinzip: Sicherheit muss angemessen sein – passend zu Größe, Struktur und Risiken der Organisation. ISO 27001 verlangt ausdrücklich, dass die Umsetzung skaliert. Ein kleines Unternehmen betreibt ein schlankes ISMS, ein Konzern ein umfangreiches. Beide können konform sein.

Integriert, nicht isoliert

Das ISMS soll Teil der normalen Abläufe sein, nicht ein Papierberg neben dem Tagesgeschäft. Sicherheit wird bereits bei der Konzeption von Prozessen und Systemen mitgedacht („Security by Design"). Genau deshalb betont die Norm die Verantwortung der obersten Leitung: Ohne Rückhalt von oben bleibt ein ISMS ein zahnloses Dokument.