Ein Managementsystem für Informationssicherheit (ISMS) ist eine standardisierte Aufstellung von individuellen Verfahren und Regeln innerhalb eines Unternehmens. Inhaltlich spielen dabei die aktuelle Bedrohungslage bzw. Angriffs-Szenarien eine zentrale Rolle, denn aus diesem Kontext heraus werden Maßnahmen zum Schutz der Unternehmensinformationen definiert und umgesetzt.
Das in der Regel softwarebasierende ISMS dient also dazu, die Maßnahmen zur Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren und aufrechtzuerhalten.
Das ISMS ist unternehmensweit wirksam, und stellt damit das Sicherheitsniveau von Informationen nachhaltig und effektiv sicher, indem Unternehmensrichtlinien, Geschäftsprozesse, Mitarbeiter und IT-Strukturen einbezogen und risikoorientiert geschützt werden. Ein ISMS wirkt somit entlang der gesamten Wertschöpfungskette des Unternehmens.
Konkrete Zielsetzungen sind:
- Identifikation und Bewertung von Informationssicherheitsrisiken
- Entwicklung und Implementierung eines Risikomanagements für Informationssicherheit
- Identifikation von besonders schützenswerten Unternehmensinformationen
- Entwicklung geeigneter Schutzmaßnahmen
- Etablierung einer Sicherheitskultur im gesamten Unternehmen
- Kontinuierliche Verbesserung der Maßnahmen zur Informationssicherheit