ISMS-Konzepte

Es gibt verschiedene etablierte Sicherheitsstandards, deren Erreichung den übergeordneten Unternehmenszielen dient und die daher weit mehr sind als eine technische Beschreibung von Sicherheitsmaßnahmen.

IT-Grundschutz-Kataloge: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) brachte 2006 mit dem IT-Grundschutz ein Konzept für die Umsetzung eines Managementsystems für Informationssicherheit heraus. Der IT-Grundschutz bietet mit seinen drei Standards 200-1, 200-2 und 200-3 in Kombination mit den IT-Grundschutz-Katalogen (vormals IT-Grundschutzhandbuch genannt) Hilfestellungen bei der Einführung und Aufrechterhaltung eines ISMS. In der Auslegung der IT-Grundschutz-Kataloge legt das BSI besonderen Wert auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Angepasst an die internationale Norm ISO/IEC 27001 sind die IT-Grundschutz-Kataloge seit 2006 faktisch Standard in deutschen Behörden.

Berthold Model, CISO und Bereichsleiter Entwicklung des Ettlinger IT-Dienstleisters Schleupen, sieht zwischen BSI-Grundschutz und ISO 27001 allerdings einen wichtigen Unterschied: „Beim international anerkannten Standard ISO 27001 hat der Anwender zwar viel mehr Spielraum, aber dadurch ist auch mehr Erfahrung und Wissen zur Umsetzung erforderlich.“ Und Christian Heutger, Geschäftsführer der
PSW Group, Spezialist für SSL-Zertifikate, betont: „Wichtig wäre, dass die IT-Entscheider zunächst das Top-Management ins Boot holen, denn ein ISMS auf Basis von ISO 27001 ist kein primäres IT-Thema (wie etwa der BSI-Grundschutz), sondern ein Business-Thema.“

ISIS12: Für die schnellere Umsetzung im Mittelstand existiert eine vereinfachte Variante, da die Erfahrung gezeigt hat, dass Firmen ohne ISMS meist auch kein IT-Service-Management (ITSM) umsetzen konnten, was wiederum den Einstieg in ein ISMS erschwert. Diese Minimalform von ISO/IEC 27001 oder des IT-Grundschutzes heißt ISIS12. Sie eignet sich besonders für kleinere IT-Abteilungen ohne speziell geschultes Personal, die sich verständlicherweise mit der Risikoanalyse und der Ableitung von Maßnahmen schwertun. ISIS12 geht auf das Netzwerk für Informationssicherheit im Mittelstand (NIM) zurück, das in einem wissenschaftlich abgestützten Modell aus ISO/IEC 27001 beziehungsweise IT-Grundschutz zwölf Schritte abgeleitet hat. Der Fokus von ISIS12 liegt in klaren Handlungsanweisungen von begrenztem Umfang und einem verständlich formulierten Einführungskonzept.

Richtlinien VdS 3473: Unter dieser Bezeichnung stellt die VdS Schadenverhütung GmbH, ein Unternehmen des Gesamtverbands der Deutschen Versicherungswirtschaft, Vorgaben und Hilfestellungen bereit, die die Implementierung eines ISMS vereinfachen und konkrete Vorschläge für Maßnahmen zur organisatorischen wie technischen Absicherung von IT-Infrastrukturen liefern. VdS 3473 ist speziell für KMUs, kleinere Institutionen und Behörden ausgelegt. Ziel ist es, ein angemessenes Schutzniveau zu definieren, das sich mit möglichst geringem Aufwand umsetzen lässt.