Ein Informationssicherheitsmanagementsystem (ISMS) ist eine Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern (anzupassen).
In der Praxis lassen sich Ziele und Eigenschaften eines ISMS wie folgt definieren?
1.Verankerung in der Organisation
Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom Topmanagement eindeutig und widerspruchsfrei zugewiesen. Insbesondere wird ein Mitarbeiter bestimmt, der umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist (in der Regel Informationssicherheitsbeauftragter oder kurz ISB).
2.Verbindliche Ziele
Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.
3.Richtlinien
Verabschiedung von Sicherheitsrichtlinien (Security Policies), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren.
4.Personalmanagement
Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.
5.Aktualität des Wissens
Es wird sichergestellt, dass die Organisation über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.
6.Qualifikation und Fortbildung
Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist.
7.Adaptive Sicherheit
Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess)
Die VdS 10000 definiert ein vollständiges ISMS und die darin enthalten Vorgaben und Hilfestellungen für die Implementierung sowie konkreten technischen und organisatorischen Maßnahmen für die Absicherung von IT-Infrastrukturen sind speziell auf kleinere und mittlere Organisationen ausgelegt. Können aber auch ohne Probleme in großen Unternehmen oder Behörden umgesetzt werden.
Die Zielsetzung ist, ein angemessenes Schutzniveau zu gewährleisten, ohne die implementierende Organisation organisatorisch oder finanziell zu überfordern.