Aufbau eines ISO 27001 Informationssicherheits-Managementsystems

Wie wird ein ISO 27001 Informationssicherheits-Managementsystem (ISMS) aufgebaut? Für detaillierte Informationen zum Aufbau und zu allen damit verbundenen Fragen können Sie unser ISO 27001 Zertifizierungsteam bei Sistem Patent Kalite kontaktieren.

Der Aufbau eines ISO 27001 Informationssicherheits-Managementsystems lässt sich in folgende Schritte gliedern.

• Bewertung der Vermögenswerte hinsichtlich der Kriterien Integrität, Vertraulichkeit und Verfügbarkeit
• Durchführung von Risikoanalysen
• Festlegung der Kontrollen, die sich aus den Ergebnissen der Risikoanalyse ableiten
• Erstellung der vom System geforderten und erforderlichen Dokumentation
• Theoretische Anwendung der Kontrollen
• Durchführung des internen Audits
• Aufbewahrung der Aufzeichnungen
• Managementbewertung
• Zertifizierungsmaßnahmen
• Operative Umsetzung des Informationssicherheits-Managementsystems

Bevor wir die Aufbauphasen betrachten, sind einige grundlegende Aspekte wichtig. Damit das ISMS Wirkung entfaltet und dauerhaft funktioniert, muss die Oberste Leitung den Aufbau aktiv tragen. Ohne diese sichtbare Unterstützung bleibt die Einführung Stückwerk. Zuerst muss die Oberste Leitung von Notwendigkeit und Nutzen eines ISMS überzeugt sein. Das ist die Grundvoraussetzung. Eine weitere zentrale Bedingung: der Aufbau eines ISMS ist nicht mit der Einführung eines IT-Systems oder einer Software gleichzusetzen. Das ISMS greift tief in die Art und Weise ein, wie das Unternehmen arbeitet, und betrifft die gesamte Organisation. Mitarbeitende auf allen Ebenen müssen ihre Aufgaben nach den Prinzipien der Informationssicherheit ausrichten. Dieses Bewusstsein und seine Verankerung im Alltag entstehen schrittweise. Wie im vorhergehenden Abschnitt erwähnt, ist das ISMS ein fortlaufender Verbesserungsprozess. Ein häufiger Irrtum ist die Annahme, das ISMS sei allein Aufgabe der IT-Abteilung. Das ISMS ist weder eine technische Aufgabe noch eine reine Technologiefrage. Es ist ein Netzwerk, das sein Ziel nur mit der aktiven Mitwirkung der gesamten Organisation erreicht. Beteiligung und Rückhalt werden von der Geschäftsführung bis zur Sachbearbeitung benötigt. Anderenfalls lässt sich der erwartete Nutzen nicht heben. Ein weiterer wichtiger Schritt beim Aufbau eines wirksamen ISMS ist die Einrichtung eines Informationssicherheits-Komitees innerhalb der Organisation.

Das Informationssicherheits-Komitee (auch Security Forum genannt) setzt sich aus Vertreterinnen und Vertretern jeder Abteilung zusammen. IT, Buchhaltung, interne Revision, Personal, physische Sicherheit und alle weiteren Bereiche entsenden jeweils eine Person. Die Mitglieder sollten über Wissen und Erfahrung in der Informationssicherheit verfügen und in der Lage sein, ihren Bereich zu vertreten. Reichen die Kenntnisse nicht aus, sind gezielte ISMS-Schulungen Pflicht.

Die Teilnahme aller Abteilungen im Komitee erhöht die Erfolgswahrscheinlichkeit des ISMS spürbar. Sie erleichtert die Verbreitung des Systems im ganzen Unternehmen und macht die organisationsweiten Sicherheitsanforderungen sichtbar. Diese Durchdringung ist entscheidend für eine saubere Planung und eine stabile Umsetzung.

Mit je einer aktiven Vertretung pro Abteilung lassen sich Kommunikationsbrüche zwischen Management und Fachebenen abbauen. Wer Probleme und Bedarfe täglich erlebt, überzeugt das Management in Einzelfragen schneller. Durch das Komitee werden Verantwortlichkeiten und Zuständigkeiten rund um das ISMS gleichmäßig über die Organisation verteilt. Das ISMS ist, wie erwähnt, kein reines IT-Thema.

Seit unserer Gründung begleitet Sistem Patent Kalite Belgelendirme Unternehmen in der Türkei als etablierte Beratungs- und Zertifizierungsgesellschaft. ISO 27001 Beratung bieten wir unter anderem in Izmir, Istanbul, Ankara, Bursa, Adana, Antalya, Konya, Kayseri und Eskisehir an.