Die ISO-Welt und das ISMS

Was ist ein Informationssicherheitsmanagementsystem?

Das Informationssicherheitsmanagement (ISMS) legt Regeln und Methoden fest, mit denen sich die Informationssicherheit in einer Organisation gewährleisten, überprüfen und kontinuierlich verbessern lässt. Beim ISMS handelt es sich also um eine Art Handbuch, das es den Mitarbeiter:innen ermöglichen, Informationen am Arbeitsplatz sicher zu behandeln. Darüber hinaus ermöglicht das ISMS Gefahren und Chancen bezüglich wichtiger Informationen zu identifizieren und Maßnahmen zu ergreifen. Von Organisationen wird heutzutage erwartet, dass sie hohe Standards in Bezug auf Informationssicherheit einhalten. Daraus hat sich ein größeres Interesse an das ISMS entwickelt. Generell ist ein ISMS für jedes Unternehmen von Bedeutung – unabhängig von Branche und Größe. Es ist sinnvoll für Unternehmen im Hinblick auf:

• Vertraulichkeit – Nur Empfänger:innen können auf die Daten zugreifen und sie auf die Art und Weise verwenden, die ausdrücklich für sie genehmigt wurde.
• Integrität – Die Daten sind fehlerfrei, nicht manipuliert und werden an einem sicheren Ort verwahrt.
• Verfügbarkeit – Autorisierte Personen haben es leichter, auf die Informationen zuzugreifen und sie zu verwenden.

Was ist Informationssicherheit?

Informationssicherheit wird häufig synonym zu IT-Sicherheit verwendet. Dies ist jedoch nicht ganz korrekt, da Informationssicherheit alles umfasst, was die Informationswerte eines Unternehmens vor Bedrohungen (z.B. Cyberattacken, Sabotage, Spionage etc.) und daraus resultierenden Schäden schützt. Dazu zählen organisatorische Belange wie Zugangsberechtigungen und Verantwortlichkeiten. Gesetzliche Regelungen wie die DSGVO fordern angemessene Schutzmaßnahmen für sensible Informationen, die in elektronischer, geschriebener oder gedruckter Form vorliegen können.

Die Informationssicherheit fällt daher nicht allein in die Zuständigkeit der IT-Abteilung, sondern ist die Umsetzung in allen Unternehmensbereichen erforderlich.

Welche Ziele verfolgt das ISMS im Unternehmen?

Ein Informationsmanagementsystem spielt eine wichtige Rolle für das Wachstum eines Unternehmens. Darüber ergeben sich folgende Vorteile:

• Neue Geschäftsmöglichkeiten – Informationssicherheit ist für viele Unternehmen unumgänglich. Geschäftspartner erwarten sich Best Practices in diesem Bereich.
• Wettbewerbsvorteile – Der Wert der Organisation steigt, denn lediglich ein ISMS verschafft einen genauen Überblick über die Prozesse und Daten eines Unternehmens.
• Bessere Cyber-Resilienz – Organisationen können sich gegen Cyberattacken wehren, deren angerichteten Schaden begrenzen und trotz eines Angriffs die Abläufe fortsetzen.
• Systemische Informationssammlung – ISMS ist der zentrale Ort, um alle Informationen im Unternehmen zu schützen und zu verwalten.
• Anpassung an Sicherheitsbedrohungen – Ein ISMS hält mit externen und internen Veränderungen Schritt. So werden Gefahren durch neue Risiken geringgehalten.
• Verbesserte Unternehmenskultur – ISMS umfasst alle Bereiche des Unternehmens, was es für Mitarbeiter:innen erleichtert, Bedrohungen zu erkennen und passende Sicherheitsmaßnahmen in die tägliche Arbeit zu integrieren.
• Niedrigere Kosten für Informationssicherheit – ISMS-basierte Risikobewertungen und -analysen bringen Unternehmen Kosteneinsparungen, da sie nicht in unnötige Abwehrtechnologien investieren.

Was bedeutet ISO?

Die ISO wurde in der Schweiz im Jahr 1947 als International Organization for Standardization gegründet. Diese sorgt für weltweit einheitliche Standards bei Produkten und Dienstleistungen und hat mehr als 24.000 Normen seit ihrer Gründung veröffentlicht. Dabei handelt es sich um eine internationale Dachorganisation der nationalen Normungsorganisationen von insgesamt 161 Ländern mit Sitz in Genf.

Die ISO entwickelt eine Reihe von Standards in Zusammenarbeit mit anderen internationalen Normungsorganisationen, wie der International Electrotechnical Commission (IEC). Die Titel dieser Standards enthalten die daran beteiligten Organisationen und das Datum der Ausgabe. Die korrekten Bezeichnungen der englischen Originalversionen von ISO 27001 und ISO 27701 lauten „ISO/IEC 27001:2013-10“ und „ISO/IEC 27701:2019-08“. Die momentan gültigen deutschsprachigen Fassungen sind DIN EN ISO/IEC 27001:2017-06 und DIN EN ISO/IEC 27701:2021-07. Zur besseren Lesbarkeit beziehen wir uns im Text nur auf ISO 27001 bzw. ISO 27701.

Zu den ISO-Standards zählen auch die DIN-Normen, die den meisten eher ein Begriff sind. Die DIN-Norm ist eine unter der Leitung von Arbeitsausschüssen der Deutsche Stiftung für Normung erarbeitete Norm.

Die ISO 27xxx – Reihe

Die ISO 27000-Reihe ist die internationale anerkannte Norm für Informationssicherheit für jegliche Unternehmen und Organisationen. Der Fokus liegt dabei auf Informationssicherheit im Kontext des ISMS. Die Reihe beschreibt insbesondere die Planung, die Realisierung, den Betrieb und die Optimierung eines ISMS.

ISO 27001 – Norm für Informationssicherheit

Die ISO 27001 ist Bestandteil der ISMS-Normenreihe und ermöglicht Unternehmen (unabhängig von Branche und Größe), ein effektives und zuverlässiges Informationsmanagementsystem. Sie ist der Grund, dass ISMS überhaupt existiert, denn ihr zentrales Element ist die Entwicklung und Aufrechterhaltung eines ISMS. Dabei werden eine Reihe von Kontrollen zum Thema Informationssicherheit festgelegt, welche Organisationen schließlich umsetzen sollten. Grundlagen dafür sind eine Risikobewertung sowie die Anforderungen der beteiligten Parteien. Gemäß der ISO 27001 ist ein Informationssicherheitsmanagementsystem die bevorzugte Methode, um Risiken im Bereich der Informationssicherheit zu reduzieren.

Sie ist außerdem die Norm der Reihe, die zertifiziert werden kann. Die Zertifizierung kann beispielsweise durch den TÜV Austria erfolgen, im Rahmen eines Audits. Eine Zertifizierung stärkt das Vertrauen der Geschäftspartner und trägt so zum Ausbau von Geschäftsmöglichkeiten bei.

ISO 27002 – Leitfaden für Informationssicherheit

Die ISO 27002 ist ein internationaler Standard, welche Empfehlungen in Form von Richtlinien für verschiedene Informationssicherheitsmaßnahmen enthält. Die Norm nimmt Bezug auf Anhang A der ISO 27001, beschreibt daher die sogenannten Controls zur praktischen Umsetzung und gibt Hinweise zur Erfüllung der Anforderungen. Eine Zertifizierung nach ISO 27002 ist nicht möglich, da es sich bei der Norm um eine Reihe von Vorschlägen und nicht um Forderungen handelt. Eine ISMS Zertifizierung ist nur möglich, wenn die Anforderungen der ISO 27001 erfüllt sind.

ISO 27701 –Norm für Datenschutzmanagementsysteme

Die ISO 27701 ist eine Erweiterung der ISO 27001 und ISO 27002 um den Bereich Datenschutz und kann eine Zertifizierung nur gemeinsam mit ISO 27001 erfolgen. Die ISO 27701 erfordert daher immer die Einhaltung der Anforderungen von ISO 27701. Die ISO 27701 legt fest, wie Maßnahmen für Datenschutz und Informationssicherheit zu verknüpfen sind, um die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Managementsystems für Informationen zum Datenschutz (PIMS, Privacy Information Management System) zu erreichen.

Die ISO 27701 hilft, die Einhaltung von Datenschutzbestimmungen weltweit nachzuweisen. Die Norm orientiert sich weitgehend an der DSGVO, fordert jedoch immer wieder explizit die Einhaltung der Vorschriften in den jeweiligen Ländern. ISO 27701 spricht im Gegensatz zur ISO 27001 von „Informationen und Datenschutz“ statt lediglich von „Informationen“. Neben der Informationssicherheit soll so auch die Privatsphäre von Personen berücksichtigt werden, die durch die Verarbeitung personenbezogener Daten betroffen sein können. Mehr Informationen zur ISO 27701 finden Sie hier.

Gemeinsamkeiten von ISO 27001 und ISO 27701

Die Normen ISO 27001 und ISO 27701 definieren, welche Anforderungen das Managementsystem einer Organisation erfüllen muss. Lediglich die Schwerpunkte – Informationssicherheit bei ISO 27001 und Datenschutz bei ISO 27701 – sind unterschiedlich. Beide Normen bedingen die Forderung, dass das Managementsystem kontinuierlich verbessert werden muss. Dabei spricht man auch von einem PDCA-Zyklus, mit den Phasen Plan, Do, Check und Act. Bei ISO 27001 und ISO 27701 unterscheiden sich nur die Kapitel, in denen die entsprechenden Schritte beschrieben sind.
Aufgrund der gemeinsamen Struktur müssen Managementsysteme die Anforderungen unabhängig von ihrem thematischen Fokus erfüllen. Hier können Synergien genutzt werden. Verfügt ein Unternehmen bereits über ein ISO 27001-konformes ISMS, müssen viele Prozesse nur erweitert, nicht neu aufgebaut werden. Außerdem können Ressourcen (z.B. Trainingstools, etc.) zusammen genutzt werden.

Ist ein ISMS nach ISO 27001 DSGVO-konform?

Ein ISMS ist nicht zwangsläufig DSGVO-konform. Das liegt daran, dass Datenschutz und Informationssicherheit zwei gänzlich unterschiedliche Ansatzpunkte haben. Datenschutzgesetze wie die DSGVO sollen die Menschen hinter den Daten schützen. Der Zweck der Informationssicherheit besteht allerdings darin, Unternehmen und Organisationen vor bestimmten Risiken zu schützen.

Es gibt allerdings einige Überschneidungen zwischen den beiden Ansätzen. Die DSGVO und auch die ISO 27001, erfordern die Implementierung technischer und organisatorischer Maßnahmen. Wenn es beispielsweise zu einer Cyberattacke kommt, bei der große Datenmengen kompromittiert werden, sind beide Ansätze von Bedeutung. Es liegt nicht nur im Interesse des Datenschutzes, sondern auch der Informationssicherheit, einen solchen Vorfall zu verhindern. Dabei wäre eine gute Zusammenarbeit zwischen dem Data Protection Officer (DPO) und dem Chief Information Security Officer (CISO) – bzw. einem Informationssicherheitsbeauftragen einer Organisation – von Vorteil.

Informationssicherheit und Datenschutz ist Ihnen wichtig? Nehmen Sie Kontakt mit uns auf, bei einem kostenlosen Ersttermin werden wir gemeinsam Ihre Bedürfnisse analysieren.