ISMS nach BSI-IT-Grundschutzmethodik

Für eine angemessene Informationssicherheit sollten alle Maßnahmen durch ein Managementsystem für Informationssicherheit (ISMS) zielgerichtet gesteuert und überwacht werden.

Dieses besteht aus:

  • Dem Sicherheitsprozess,
  • Technik und Personal und
  • Managementprinzipien.

Managementprinzipien

Als Managementprinzipien nennt der Standard 200-1:

Aufgaben und Pflichten des Management (Leitungsebene)

  • Übernahme der Gesamtverantwortung für Informationssicherheit
  • Informationssicherheit initiieren, steuern und kontrollieren
  • Integration in alle Prozesse und Projekte
  • Erreichbare Ziele setzen
  • Sicherheitskosten gegen Nutzen abwägen
  • Vorbildfunktion

Kommunikation und Wissen

  • Berichte an die Leitungsebene
  • Informationsfluss
  • Klassifikation von Informationen
  • Dokumentation
  • Nutzung verfügbarer Informationsquellen und Erfahrungen

Erfolgskontrolle im Sicherheitsprozess

Kontinuierliche Verbesserung des Sicherheitsprozesses

Sicherheitsprozess

Informationssicherheit ist ein Prozess1), welcher nach der Aufbauphase in eine Phase der kontinuierlichen Verbesserung und Anpassung übergeht. Das Sicherheitsniveau kann nach dem Aufbau erhöht werden und es muss auf Änderung der Rahmenbedingungen z.B.

  • Gesetzliche Normierungen
  • Standards
  • Fachprojekte
  • Besondere Gefährdungen
  • Personelle Veränderungen
  • Erneuerungsbedarf der Technik

reagiert werden.

Die Leitung sollte einen Beauftragten für Informationssicherheit2) und in Abhängigkeit von der Größe der Organisation ein IS-Team benennen. Der Beauftragte erarbeitet in Abstimmung mit der Leitung unterstützt durch das IS-Team die Leitlinie zur Informationssicherheit3) als Grundsatzdokument zum Stellenwert, den Prinizipien und dem angestrebten Niveau der Informationssicherheit.

Links

1) BSI Online-Kurs, Lerneinheit 2.2: Die Phasen des Sicherheitsprozesses

2) SAKD,
Muster zur Benennung eines BfIS
Verzeichnis Dienstleister externer BfIS
Formulierungsvorschläge Dienstleistungsvertrag externer BfIS

3)

SAKD,
Muster Leitlinie zur Informationssicherheit

Kommunale Spitzenverbände auf Bundesebene, bereitgestellt durch den Deutschen Städtetag
Handreichung zur Ausgestaltung der Informationssicherheitsrichtlinie in Kommunalverwaltungen