Icon Informationssicherheit
Informationssicherheit

Wie ausgereift ist Ihre Informationssicherheit?

Michel Paß
Verfasst von: Michel Paß
Berater für IT-Sicherheit und Datenschutz

Zur Antwort auf diese Frage kann man sich mit technischen Überprüfungen eine Momentaufnahme verschaffen. Doch wie ist der Unterbau Ihrer Informationssicherheit aufgestellt und ist sichergestellt, dass Sie immer am Puls der Zeit bleiben?

 


Unsere aktuellen Blogbeiträge verwenden eine gendergerechte Sprache. Beiträge vor dem 01.01.2023 haben wir nicht nachträglich überarbeitet. Grundsätzlich legen wir Wert darauf, eine inklusive und respektvolle Kommunikation zu fördern. Vielen Dank für Ihr Verständnis.­­


 

Zur Antwort auf diese Frage kann man sich mit technischen Überprüfungen eine Momentaufnahme verschaffen. Doch wie ist der Unterbau Ihrer Informationssicherheit aufgestellt und ist sichergestellt, dass Sie immer am Puls der Zeit bleiben?

Um diese Fragen strukturiert beantworten zu können und langfristig in die richtige Richtung zu steuern, gibt es die Disziplin des sog. Informationssicherheitsmanagements. In diesem Bereich werden alle Maßnahmen zur Aufrechterhaltung der Informationssicherheit in einem Managementsystem zusammengefasst und laufend in einem sog. PDCA-Zyklus (Plan, Do, Check, Act) fortentwickelt.

Webcast zum Thema "Standards im Informationssicherheitsmanagement" mit Arne Wolff und Michel Paß

Warum gibt es Standards?

Zur Umsetzung dieser Entwicklung haben sich im deutschsprachigen Raum in den letzten Jahren besonders die ISO/IEC 27000 mit weiteren zugehörigen Normen und der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als Standards hervorgetan. Neben diesen beiden Standards existieren viele weitere, meist branchenspezifische Standards, wie etwa das Information Security Assessment des Verbands der Automobilindustrie (VDA ISA), welche sich vielfach wiederum an der ISO-Norm orientieren.

Welcher Standard ist der beste?

Grundsätzlich lässt sich nicht sagen, dass der eine Standard mehr Sicherheit schafft als der andere – es kommt immer auf die tatsächliche Umsetzung an. Die Normen der ISO/IEC 27000-Reihe sind bewusst allgemein formuliert, damit sie auf Unternehmen jedweder Branche und Größe angewandt werden können. Sie sind in einem Top-Down-Ansatz organisiert und die genaue Ausgestaltung der Umsetzung ist von den tatsächlichen Gegebenheiten abhängig. Der IT-Grundschutz hingegen bringt mit dem sog. IT-Grundschutz-Kompendium einen Katalog von mehr als 800 Seiten mit genauen Beschreibungen von Anforderungen, die teilweise auch auf einzelne Systeme wie Windows 10 eingehen. Neben dem Kompendium besteht der IT-Grundschutz aktuell aus den drei Standards BSI-Standard 200-1 (Managementsysteme für Informationssicherheit (ISMS)), 200-2 (IT-Grundschutz-Methodik) und 200-3 (Risikoanalyse auf der Basis von IT-Grundschutz), welche 2017 grundlegend überarbeitet wurden und BSI-Standard 100-4 (Notfallmanagement), dessen Überarbeitung noch aussteht.

Welcher Standard ist der richtige für meine Anforderungen?

Eine treibende Kraft bei der Auswahl eines Standards ist häufig die Möglichkeit einer Zertifizierung. Ein zertifiziertes Informationssicherheitsmanagementsystem (ISMS) kann gegenüber potentiellen Auftraggebern und Partnern einen starken Hinweis auf einen sicheren Umgang mit Informationen liefern. Bei Projektausschreibungen werden einschlägige Zertifizierungen häufig zusätzlich als Bewerbungshürde eingebaut.

Wer nun von dem Überblick der Standards im Informationssicherheitsmanagement verwirrt ist, der wird sich freuen, dass der Aufbau der Standards dafür sorgt, dass sie untereinander kompatibel sind. Die grundlegende Frage muss also nicht lauten „ISO oder BSI?“, sondern „Welche Bestandteile passen aus beiden Welten am besten zu meiner Situation?“. Zur Verbindung beider Welten stellt das BSI eine Zuordnungstabelle [1] zwischen der ISO/IEC 27001 bzw. 27002 und dem IT-Grundschutz zur Verfügung.

Sollten Sie Informationssicherheit mit dem Ziel einer Zertifizierung angehen, dann ist in den meisten Fällen eine Zertifizierung nach ISO/IEC 27001 der bessere Ansatz. Zertifizierungen nach ISO 27001 auf Basis des IT-Grundschutzes sind zwar möglich, in den meisten Fällen aber eher für öffentliche Stellen oder Betreiber mit sehr hohen Sicherheitsanforderungen angemessen und in ihrer Umsetzung sehr umfangreich.

Bei der Umsetzung eines ISMS unterstützen Sie unsere Experten gerne.

[1] Zuordnungstabelle ISO zum modernisierten IT-Grundschutz

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/Zuordnung_ISO_und_modernisierter_IT_Grundschutz.html

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.