Das AXXCON Know-how

So sollten Sie bei der ISMS-Einführung vorgehen!

In diesem Artikel geben wir Ihnen Tipps für eine bessere Umsetzung und verraten Ihnen, welche Schritte Sie bei der Einführung eines Informationssicherheits-Managementsystems beachten sollten. Inklusive Checklisten und Zeitempfehlungen für jede Phase.

 

 

Wir bei AXXCON empfehlen den Prozess in sechs Phasen aufzuteilen:

Mit dieser modularen Lösung von AXXCON haben Sie die Möglichkeit jede Phase getrennt voneinander zu bearbeiten. Externe Beratungs- und Projektmanagementkapazitäten können Sie in jeder Phase zur Unterstützung dazu holen. Haben Sie die gewünschten Ergebnisse erreicht, lassen sich die folgenden Phasen auch wieder alleine bearbeiten. Diese Vorgehensweise bietet sich vor allem dann an, wenn z.B. interne Ressourcen für eine bestimmte Zeit oder das Know-how für einzelne Schritte fehlen.

 

 

 

ISMS Zeitstrahl

 

 

 

Phase 1: Der ISMS Readiness-Check

Tipp: Planen Sie ein Zeitfenster von ca. 2 bis 4 Wochen ein.

 

Ziel: Handlungsbedarf und die benötigten Ressourcen identifizieren!

In dieser Phase prüfen Sie den aktuellen Status hinsichtlich der Zertifizierungsreife.

Welche Dokumente benötigen Sie? Welche liegen Ihnen vor? Wie ist der Status Ihrer aktuellen Prozesslandschaft? Ist ein Incident Management – Prozess definiert? Welche Aufgaben müssen verteilt werden?

 

To Do:

  • Sichtung und Bewertung ISMS-relevanter Dokumente auf Vollständigkeit und Qualität

(z.B. ISMS-Policy, Sicherheitsrichtlinien, etc.)

  • Prüfung ISMS-relevanter Rollenbeschreibungen und Verantwortlichkeiten (z.B. Informationssicherheitsbeauftragter)
  • Prüfung der Organisation sowie Prozessdokumentation und -implementierung

 

 

Phase 2: Vorbereitungsphase

Tipp: Planen Sie ein Zeitfenster von ca. 4 bis 6 Wochen ein.

 

Ziel: Bereitstellung einer angemessenen Basis sowie einer klaren Dokumenten- und Organisationsstruktur

In der Vorbereitungsphase bestimmen Sie alle Geschäftsbereiche, die elementar für die Funktionsfähigkeit des Unternehmens sind. Alle Anwendungen, Systeme und deren Verbindungen, die von Angriffen betroffen sein könnten und die Versorgung gefährden, fassen Sie in einem Netzstrukturplan zusammen.

Weiter legen Sie die grundsätzliche Herangehensweise zur Implementierung des ISMS fest.

 

To Do:

  • Definition des Scopes / Anwendungsbereichs
  • ISMS-Leitlinie erstellen
  • Methode der Risikoeinschätzung definieren
  • Netzstrukturplan prüfen

 

 

 

Phase 3: Schutzbedarfs- und Risikoanalyse

Tipp: Planen Sie ein Zeitfenster von ca. 8 bis 12 Wochen ein.

 

Ziel: Erstellen Sie einen Risikobehandlungsplan!

In Phase 3 identifizieren Sie die Informationswerte, die es zu schützen gilt. Im zweiten Schritt bewerten Sie die einzelnen Risiken sowie deren möglichen Auswirkungen aus Unternehmenssicht und erstellen einen Maßnahmenkatalog.

 

To Do:

  • Identifizierung der Informationswerte / Schutzbedürftigkeit
  • Risikoidentifizierung und Risikobewertung
  • Maßnahmen zur Risikobehandlung festlegen
  • Formulieren des Risikobehandlungsplans
  • Akzeptanz des verbleibenden Risikos klären
  • Erklärung zur Anwendbarkeit erstellen
  • Planung der Implementierung

 

 

Phase 4: ISMS-Implementierung

Tipp: Planen Sie ein Zeitfenster von ca. 30 bis 40 Wochen ein.

 

Ziel: Erfolgreiche Implementierung des ISMS!

Zur erfolgreichen Implementierung des ISMS setzen Sie die in Phase 3 erarbeiteten Maßnahmen nach dem ausgearbeiteten Implementierungsplan um und schärfen das Sicherheitsbewusstsein der Mitarbeiter. Alle umgesetzten Maßnahmen gilt es zu dokumentieren und nachzuhalten.

 

To Do:

  • Umsetzen des Risikobehandlungsplans
  • Sensibilisierung und Schulung der Mitarbeiter
  • Dokumentation der umgesetzten Maßnahmen

 

 

Phase 5: ISMS-Initialisierung des Betriebs

Tipp: Planen Sie ein Zeitfenster von ca. 4 bis 6 Wochen ein.

 

Ziel: Erfolgreiche Initiierung des Betriebs

In der fünften Phase etablieren Sie einen durchgängigen und strukturierten Betrieb der ISMS-Prozesse. Stellen Sie dabei sicher, dass die eingesetzten Ressourcen verfügbar sind und miteinander funktionieren. Identifizieren Sie gegebenenfalls Verbesserungspotenziale und optimieren Sie die Prozesse.

 

To Do:

  • Identifizieren und Umsetzen von Verbesserungen
  • Korrektur- und Vorbeugemaßnahmen
  • Kommunizieren der Verbesserungen
  • Erfolgskontrolle der Verbesserungen
  • ISMS-Ressourcenmanagement
  • Erkennung und Management von Sicherheitsvorfällen

 

 

Phase 6: Regelbetrieb und Kontrolle

Tipp: Planen Sie ein Zeitfenster von ca. 4 bis 6 Wochen ein.

 

Ziel: Entwicklung eines kontinuierlichen Verbesserungsprozesses nach dem PDCA-Modell (Plan, Do, Check, Act)

In der „finalen“ Phase stellen Sie sicher, dass alle bisherigen ISMS-Prozesse regelmäßig wiederholt, überprüft und bei Bedarf angepasst werden.

 

To Do:

  • Regelmäßige Überprüfung der Wirksamkeit
  • Regelmäßige Wiederholung der Risikoeinschätzung
  • Durchführen regelmäßiger interner Audits
  • Regelmäßige Managementbewertung des ISMS
  • Aktualisieren der Sicherheitspläne
  • Aufzeichnung von Aktivitäten und Ereignissen

 

 

Haben Sie Fragen zum Thema ISMS? Ihre Ansprechpartner finden Sie neben dem Artikel.

 

 





Zurück