Information Security Management System

Information Security Management System

Das Information Security Management System (ISMS, engl. für „Managementsystem für Informationssicherheit“) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

Der Begriff wird im Standard ISO 17799 verwendet. ISO/IEC 27001 definiert ein ISMS. Der deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

Inhaltsverzeichnis

IT-Grundschutz-Kataloge

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit den IT-Grundschutz-Katalogen (ehemals IT-Grundschutzhandbuch) einen Katalog herausgegeben, der einem Unternehmen bei der Einhaltung ausgearbeiteter Regeln unter die Arme greifen soll. Seit 2006 sind die IT-Grundschutz-Kataloge an die internationale Norm ISO/IEC 27001 angepasst. Für Deutschland kann das Vorgehen nach diesem System als Quasi-Standard angesehen werden.

Das BSI legt dabei besonderen Wert auf die drei Bereiche Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Allgemeine Ansätze

Informationssicherheit ist meist als Aufgabe der Leitung einer Organisation oder eines Unternehmens definiert und sollte nach einem Top-Down Ansatz organisiert sein. Insbesondere die Verabschiedung von Informationsschutz- und Sicherheitsrichtlinien (Security Policy) ist Aufgabe des obersten Managements. Die Ausarbeitung dieser Policy wird meist an einen Mitarbeiter delegiert. Neben dem Datenschutzbeauftragten als Kandidaten für diese Aufgabe wird ggf. auch ein Posten als IT-Sicherheitsbeauftragter oder eine IT-Sicherheits-Gruppe eingesetzt. Danach ist die Überwachung ihrer Einhaltung innerhalb der Organisation die Aufgabe.

Häufig befindet sich eine Beschreibung der Datensicherheit in einem Datenschutzkonzept oder Sicherheitskonzept und umfasst dabei auch das Sicherungskonzept.

IT-Sicherheitsbeauftragter

Der bereits erwähnte IT-Sicherheitsbeauftragte (ITSB) wird vom Vorstand/Geschäftsführer des Unternehmens bestellt. Seine Auswahl sollte anhand folgender Kriterien erfolgen

  • eine deutliche Affinität zur IT haben
  • allgemeines Vertrauen genießen
  • Erfahrung in Projektarbeit besitzen
  • die Stelle besetzen wollen und nicht müssen
  • direkt dem Vorstand/Geschäftsführer unterstellt werden
  • mit ausreichenden zeitlichen und finanziellen Mitteln ausgestattet sein.

Der ITSB ist Ansprechpartner für sämtliche Fragen der IT-Sicherheit und sollte auch bei Entscheidungsfindungs- und Auswahlprozessen in Sachen Software, IT-Struktur, Neubau und vergleichbarem hinzugezogen werden.

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужен реферат?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Information security management system — An Information Security Management System (ISMS) is, as the name suggests, a set of policies concerned with information security management. The idiom arises primarily out of ISO/IEC 27001.The key concept of ISMS is for an organization to design …   Wikipedia

  • Information security management system — Système de gestion de la sécurité de l information Un système de gestion de la sécurité de l information (en anglais : Information security management system, ou ISMS) est, comme son nom le suggère, un système de gestion concernant la… …   Wikipédia en Français

  • Information Security Management — Information security (ISec) describes activities that relate to the protection of information and information infrastructure assets against the risks of loss, misuse, disclosure or damage. Information security management (ISM) are controls that… …   Wikipedia

  • Information security — Components: or qualities, i.e., Confidentiality, Integrity and Availability (CIA). Information Systems are decomposed in three main portions, hardware, software and communications with the purpose to identify and apply information security… …   Wikipedia

  • Federal Information Security Management Act of 2002 — The Federal Information Security Management Act of 2002 ( FISMA , usc|44|3541, et seq. ) is a United States federal law enacted in 2002 as Title III of the E Government Act of 2002 (USPL|107|347, USStat|116|2899). The act was meant to bolster… …   Wikipedia

  • Information security professionalism — is the set of knowledge that people working in Information security and similar fields (Information Assurance and Computer security) should have and eventually demonstrate through certifications from well respected organizations. It also… …   Wikipedia

  • Management system — A management system is the framework of processes and procedures used to ensure that an organization can fulfill all tasks required to achieve its objectives[1]. For instance, an environmental management system enables organizations to improve… …   Wikipedia

  • ITIL Security Management — The ITIL Security Management process describes the structured fitting of security in the management organization. ITIL Security Management is based on the Code of practice for information security management also known as ISO/IEC 17799.A basic… …   Wikipedia

  • Information Systems Security Management Professional — is a designation awarded by the International Information Systems Certification Consortium ((ISC)^2).For experienced information security professionals with an International Information Systems Security Certification Consortium ((ISC)2)… …   Wikipedia

  • Security management — is a broad field of management related to asset management, physical security and human resource safety functions. It entails the identification of an organization s information assets and the development, documentation and implementation of… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”