+49 (0)89 1891 7360
email@iitr.de
Kreis der Betroffenen
- alle Unternehmen
Gesetzliche und branchenspezifische Anforderungen
- Die ISO/IEC 27001 ist der international anerkannte Standard für ISMS, welcher die Grundlage für die meisten Mindestanforderungen bildet
- Branchenspezifische Standards wie TISAX (Automobilindustrie) oder Anforderungen aus der KRITIS-Verordnung sowie NIS2-Richtlinie können zusätzliche Relevanz erhalten.
- Das BSI veröffentlicht ebenfalls Mindeststandards für die Informationssicherheit, die kostenfrei genutzt werden können.
Zielsetzung
- Aufbau und kontinuierliche Verbesserung eines firmeninternen Systems zur Gewährleistung der Informationssicherheit.
Maßnahmen
- Verpflichtung des Managements
- Festlegung des Geltungsbereichs
- Etablierung eines Risikomanagements
- Einführung von Sicherheitsrichtlinien und Kontrollen
- Überwachung und interne Audits
Kernanforderungen an ein ISMS
Management und Führung:
- Die Unternehmensleitung muss ein ISMS aktiv unterstützen und klare Verantwortlichkeiten festlegen.
Struktur und Verantwortlichkeiten:
- Etablierung einer Organisationsstruktur. Benennung qualifizierter Personen, Zuweisung von Aufgaben, Einrichtung von Kommunikationswegen.
Planung:
- Festlegung von Zielen, Risikobewertungskriterien, Erstellung einer Informationssicherheitspolitik.
Unterstützung
- Bereitstellung von Ressourcen, Schulung von Mitarbeitern Dokumentation.
Betrieb
- Umsetzung von Risikomanagementprozessen für den laufenden Betrieb, Implementierung von festen Sicherheitsmaßnahmen, Kontrollen.
Bewertung
- Die Leistung des ISMS muss regelmäßig überwacht, und durch interne Audits überprüft werden.
Verbesserung
- Abweichungen müssen analysiert und Verbesserungsmaßnahmen kontinuierlich durchgeführt werden.