ISO27001 ISMS

Posted by Schott-DCT on Monday, March 25, 2019

Einführung von ISO27001: Information Security Management System (ISMS)
Zur Umsetzung von ISO27001 wird ein ISMS etabliert, ein Information Security Management System.
Der Begriff “System” in diesem Kontext bedarf einer Erläuterung: zumindest bei Deutschen hat in der IT der Begriff System zunächst die Bedeutung einer mehr oder weniger komplizierten Maschinerie – etwas dass man unwillkürlich in einem Regal oder einem 19“ Rack sucht – und das ISO27001 Konformität produziert. Es muss nur mit Strom (und vermutlich Lizenz-Tokens) gefüttert werden.

Die Beatles sangen einst “Can’t buy me love”.
Dasselbe gilt für ISO27001: das kann man nicht kaufen.

Das ISO27001 Security System ist eine Prozess, eine Methode um Bedrohungen zu erkennen und die IT-Sicherheit kontinuierlich zu verbessern. Es wird ausgeführt von Menschen, Verantwortlichen, Experten, Betroffenen und dem CSO (Chief Security Officer) vom Dienst.

ISO27001 Definition (Wikipedia) des ISMS
“Ein (ISMS) ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.”

Grundsätzlich wäre es möglich, ein ISO27001 konformes ISMS einzurichten basierend auf einem Team mit Stift und Papier.

In anderen Worten: in den meisten Fällen ist es sinnlos eine aufwändige ISMS-Software zu kaufen. Der von Menschen ausgeführte Prozess wird in jedem Fall benötigt – und der damit verbundene Aufwand.

In den meisten Implementierungen stellt ein DMS, ein Dokumenten-Managementsystem, im Zentrum eines ISMS die Funktion des Dokumenten-Repository.
(Achtung: dieses System ist ein Server + SW)

Für kleine und mittelständige Firmen könnte hier ein Wiki hinreichend sein, z.B. xWiki, Open Source, Linux und Windows). Dieses stellt die Dokumentation und die Kommunikation mit allen Betroffenen und Interessenten sicher.

Dieses zentrale Repository ist ein praktischer Integrationspunkt (gemeinsame Nutzung) für ISO9001 und ISO22000 Managementsysteme im selben Unternehmen.

Weitere Blog-Artikel werden sich mit Aspekten und Schritten zur Implementierung von ISO27001 befassen.


[1] Definition eines IT-Systems (Wikipedia) https://de.wikipedia.org/wiki/Informationstechnisches_System
[2] ISMS Definition Wikipedia
https://de.wikipedia.org/wiki/Information_Security_Management_System
[3]: xWiki, The Advanced Open Source Enterprise Wiki
https://www.xwiki.org/xwiki/bin/view/Main/WebHome