Was ist eigentlich ein ISMS … und was nicht?

Diagram by Karn G. Bulsuk (http://www.bulsuk.com)

Da sich die Krankenhäuser, die unter KRITIS fallen, inzwischen auf den Weg machen, ein sogenanntes ISMS zu implementieren, möchte ich versuchen, ein wenig Klarheit zu schaffen und das eine oder andere Missverständnis ausräumen, das mir als Berater, Auditor und Trainer zum Thema ISO 27001 (ein Standard, der Anforderungen an ein ISMS enthält) über den Weg läuft.

Klar, ISMS steht für Informationssicherheitsmanagementsystem, ein Wort mit 40 Buchstaben und damit ein weiterer Grund, warum Ausländer über unsere schöne Sprache den Kopf schütteln. Wenn man es in der Mitte  aufteilt, bleibt rechts ein System übrig, mit dem man etwas „managen“ kann, typischerweise Qualität, Umweltschutz oder eben die Sicherheit von Informationen. Das heißt, das ISMS ist in erster Linie ein systematischer Prozess, ein Ablauf, der zu einer kontrollierten Sicherheit führt, wenn er angewendet wird. Dazu gehören im Wesentlichen ein Teilprozess zum Identifizieren und Bewerten von Risiken, sowie ein zweiter Teilprozess zum Behandeln von Risiken – darüber hinaus natürlich die üblichen Zutaten aller anderen Managementsysteme wie Unterstützung durch die Führung, Verstehen des Kontextes, Ziele, hinreichend Ressourcen, Mitarbeiterawareness, Dokumentation, Messungen, ständige Verbesserungen und so weiter und so weiter.

Das heißt aber auch, dass ein ISMS beispielsweise kein Maßnahmenplan ist, vielmehr würde ein solcher einen der Outputs des ISMS darstellen. Schon gar nicht stellt es einen Sicherheitsstandard dar, sprich ein festes, einheitliches Sicherheitsniveau, das durch Umsetzung detaillierter, verbindlicher Maßnahmen hergestellt wird. Im Grunde ist es das genaue Gegenteil, denn es ermöglicht jedem Unternehmen, das für es selbst gewünschte Sicherheitsniveau herzustellen. Somit ist es, wie es ein Kunde anschaulich und treffend ausdrückte auf einem „Esoterik“-Niveau, sprich auf einer abstrakteren Stufe angesiedelt – ein Management-System eben. Schlussendlich ist ISMS auch nichts, was ein zum IT-Sicherheitsbeauftragten verdonnerter IT-Administrator mal eben aufbauen könnte, denn das A und O (bzw. das M) ist das Management im Sinne von Führung und die beginnt und endet nun mal bei der Geschäfts“führung“.

Tags: , .
  • Trackbacks
  • Comments
  • Comments are disabled.
  • Trackbacks are disabled.