ISMS in der Industrie – schnell & verständlich erklärt!

ISMS in der Industrie – schnell & verständlich erklärt!

Was ein Information Security Management System oder auch ISMS ist, bei was es hilft und wie es im industriellen Kontext steht, erfahren Sie in unserer Einführung.

Sicherheitsmanagement2018-10-02T14:33:43+00:007. Februar 20180 Kommentare

Die Abkürzung ISMS ist seit einiger Zeit in aller Munde. Der Ursprung dieser Abkürzung liegt wahrscheinlich der Entwicklung dessen zugrunde, was wir heute unter dem Namen ISO 27001 kennen. Die BSI Group (Vorsicht, dieses BSI, nicht das deutsche Bundesamt für Sicherheit in der Informationstechnik) hatte ihn um die Jahrtausendwende mit der Entwicklung eines Standards für Informationssicherheit eingeführt. Wie dem auch sei – seither empfehlen die Berater in der Sicherheitsbranche ständig: „Sie müssen ein ISMS implementieren!“

Was sich dahinter verbirgt weiß allerdings nicht jeder Berater. Und die Fachleute argumentieren oft vor dem Hintergrund der ISO 27000-Serie und betreiben so manches Mal Angstmarketing. Am liebsten würden sie in Ihrem Unternehmen einen Großputz veranstalten.

Deswegen: Lassen Sie uns Klartext reden – und urteilen Sie selbst!

Wofür steht das Kürzel ISMS?

Die Abkürzung steht für „Information Security Management System“. Manchen ist die deutsche Übersetzung lieber: „Managementsystem für Informationssicherheit“. In der Industrie ist anders als im Enterprise-Bereich die Norm IEC 62443 gebräuchlich. Dort spricht man auch von einem IACS-SMS und meint damit das „Industrial Automation and Control System – Security Management System“.

Was ist mit System gemeint?

In diesem Fall ist damit weder ein „elektronisches System“ noch ein fertiges Produkt gemeint, das man kaufen kann. System steht hier vielmehr für den Zusammenschluss verschiedener Regeln, Richtlinien und Dokumentationen der die IT-Sicherheit im Unternehmen gewährleistet. Alle diese Dokumente werden unter dem Begriff „ISMS“ zusammengefasst.

Was bedeutet das für Ihre Arbeit?

In erster Linie nur, dass Sie alle Ihre Unterlagen und Prozesse, die für die IT-Sicherheit im Unternehmen wichtig sind, unter dem Oberbegriff ISMS zusammenfassen. Mehr nicht!

Welchen Zweck erfüllt das?

Indem Sie alle für Ihre IT-Sicherheit relevanten Prozesse strukturiert dokumentieren, sorgen Sie für eine einheitliche Ablage und damit für nachvollziehbare Informationen. Sicherheit sollte ja ein kontinuierlicher und koordinierbarer Prozess sein. Und das erreicht man mit einer solchen Zusammenfassung.

Muss ich mich beim ISMS an Vorgaben halten?

Normen oder Standards legen fest, was in welchem Umfang und auf welche Art von einem ISMS geregelt wird. Legen Sie Wert auf eine Zertifizierung – etwa nach ISO 27001 –, dann müssen Sie sich an die entsprechende Norm halten. Streben Sie keine Zertifizierung an, können Sie die Norm trotzdem als Denkanstoß nutzen. Oder sie einfach ignorieren.

Allerdings kommen solche Normen und Standards meist aus der Praxis und beinhalten Best Practices – optimale Vorgehensweisen. Auch wenn Sie keine Zertifizierung anstreben kann es daher sinnvoll sein, sich an solche Normen zu halten. Mit welcher Genauigkeit das geschieht, können Sie in diesem Fall selbst entscheiden. Möchten Sie aber eine Zertifizierung und ein ISMS nach ISO 27001 implementieren, müssen Sie sich zwangsläufig an die Vorgaben dieser Norm richten.

Wofür brauche ich ein solches ISMS?

Betrachten Sie das ISMS als übergeordnetes System das Ihre Dokumente, Unterlagen und Prozesse zur IT-Sicherheit steuert. Das können Sie zum Beispiel mit einer Wiki-Lösung umsetzen, in der alle Dokumente zu finden sind. Dort werden dann auch Prozesse dokumentiert, die das Change-Management oder auch das Vorgehen bei Sicherheitsvorfällen definieren. Ist das ISMS einmal etabliert, kann es die IT-Sicherheit im gesamten Unternehmen steuern.

Worin unterscheidet sich ein ISMS von einem IACS-SMS?

Nicht in vielen Bereichen. Während das ISMS die Sicherheitsaufgaben im Bereich Enterprise abdeckt, behandelt das IACS-SMS – basierend auf IEC 62443 – zusätzlich die Besonderheiten im Automatisierungsbereich. Anders und vereinfacht ausgedrückt: IEC 62443 und IACS-SMS bauen auf ISO 27001 und ISMS auf, berücksichtigen aber – mit auf Automatisierungsnetze zugeschnittenen Maßnahmen – zusätzlich die Anforderungen der Industrie.

Brauche ich dazu einen externen Berater?

Ob Sie einen externen Berater benötigen, hängt davon ab, ob Sie eine Zertifizierung anstreben. Ein weiterer Entscheidungsfaktor ist, auf wie viele Ressourcen und wie viel Wissen Sie im Bereich ISMS zurückgreifen können. Theoretisch können Sie sich einfach an die Norm halten oder sich Lektüre und professionelle Checklisten kaufen. In der Praxis ist die Arbeit mit einem Berater jedoch oft effizienter. Denn ein guter Berater weiß, worauf es ankommt und – noch wichtiger – was man weglassen kann. Letztlich hängt es vom Einzelfall ab. Die „Abschlussprüfung“ für eine Zertifizierung muss allerdings ein dafür zugelassener Auditor durchführen.

Was sollte ich noch beachten?

Zwei Dinge! Erstens kostet das Erarbeiten eines ISMS Zeit und damit Geld. Es kann aber langfristig Geld sparen und IT-Sicherheit als einen kontinuierlichen Prozess im Unternehmen etablieren. Zweitens sollten Sie bei der Auswahl eines externen Beraters darauf achten, dass der Dienstleister wirklich Automatisierungserfahrung hat. Allzu oft versuchen Anbieter mit ISO 27001-Expertise im Enterprise-Bereich auch den Zusatzauftrag für die Produktionssicherheit zu übernehmen. Das funktioniert jedoch nur in den seltensten Fällen!

Ich möchte mehr wissen!

Mehr zum Thema gibt es in unserem Artikel über die IEC 62443!

Praxistipp: Listen Sie alle Orte auf, an denen Ihre Sicherheitsdokumentation liegt. Überlegen Sie sich als nächstes, wie man diese Dokumentation zentralisieren und vereinheitlichen könnte.

Über den Autor:

Max Weidele
Max Weidele ist Initiator der Wissensplattform Sichere Industrie sowie Mitgründer und Geschäftsführer des Industrial Security Beratungsunternehmens, bluecept GmbH – Simplified Industrial Security. Er fördert Lösungen, die die industrielle Sicherheit nachhaltig anwendbar und handhabbar machen.

Hinterlassen Sie einen Kommentar

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich akzeptiere

Newsletter anmelden!
  • eBook "7 Schritte Richtung Industrial Security" 
  • Hinweise auf neue Fachinformationen zum Thema Industrial Security
  • Tipps & praktische Vorgehensweisen
  • Infos zu neuen Workshops, eBooks und Angeboten auf der Plattform
Ihre Daten sind bei uns sicher. Datenschutzerklärung