Argana Consulting GmbH
 Ihr externer Partner für Informationssicherheit, Datenschutz und Risikomanagement

Informationssicherheit


Daten fließen heute permanent zwischen Personen, Computern und IoT-Geräten – Informationssicherheit ist damit für Unternehmen wie für jeden Einzelnen von zentraler Bedeutung. Zugleich müssen IT-Organisationen immer mehr Vorgaben aus Normen, Gesetzen und Verordnungen umsetzen, gerade bei verteilten Systemen und internationalen Netzwerken. Das Ziel: die drei wichtigsten Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit dauerhaft sichern – ergänzt um Authentizität und Nichtabstreitbarkeit.


Das ISMS: Sicherheit mit System
Ein Informationssicherheits-Managementsystem (ISMS) verankert Informationssicherheit auf drei Ebenen: organisatorisch durch klare Rollen (ISB/CISO, DSB/DPO) – idealerweise als Stabstelle mit direktem Berichtsweg zur Geschäftsleitung und getrennt von den Fachabteilungen, um Interessenskonflikte zu vermeiden; inhaltlich durch die Festlegung der geltenden Normen und Vorgaben; methodisch durch prozess- und risikoorientierte Gestaltung.
Ein ISMS ist kein statisches System: Es folgt dem PDCA-Zyklus (Demingkreis) und wird kontinuierlich verbessert – von der Anforderungsanalyse und dem Risikomanagement (Plan) über Umsetzung und Betrieb (Do) und die Überwachung mit Audits und Reporting (Check) bis zu Optimierung und Verbesserungsmaßnahmen (Act).


Struktur und Dokumentation
Zum ISMS gehören Anforderungs- und Umweltanalyse, IT-Politik und Sicherheitsziele, Risikomanagement-Verfahren, Konzepte und Richtlinien, Schutzbedarfsfeststellung sowie Prozesse und Umsetzung. Die Dokumentation unterscheidet nach ISO/IEC 27000 zwischen betrieblich notwendigen Dokumenten, Pflichtdokumenten und Verfahrensanweisungen – die konkrete Struktur hängt vom Wirtschaftszweig und den geltenden Vorschriften ab.


Unsere Empfehlungen

  • „Keep it simple“: Prozesse müssen verständlich und nachvollziehbar sein – nur dann werden sie gelebt.
  • Synergieeffekte nutzen: mit Datenschutz (DSMS), Risikomanagement (RMS) und Compliance (CMS) verzahnen.

Vertiefen Sie die Themen dieses Bereichs: die Informationssicherheitsziele, NIS-2 und die europäische Cybersicherheit, die ISO/IEC 27000er Reihe sowie die technischen und organisatorischen Maßnahmen (TOM).