ISMS Definition: Interview mit dem Geschäftsführer der keepbit Adnan Bastürk
Was genau verbirgt sich hinter der Abkürzung ISMS? Um das Thema näher zu beleuchten, haben wir ein Interview mit Adnan Bastürk, dem Geschäftsführer der keepbit IT-SOLUTIONS GmbH, geführt.
Frage 1: Was bedeutet ISMS?
Adnan Bastürk: „ISMS steht für Information Security Management System, also ein Managementsystem zur Informationssicherheit. Es handelt sich dabei um einen systematischen Ansatz, um sensible Unternehmensinformationen zu schützen. „
Frage 2: Was macht ein ISMS konkret?
Adnan Bastürk: „Ein ISMS legt die strukturierten Schritte fest, die ein Unternehmen unternimmt, um Informationssicherheit zu gewährleisten. Konkret bedeutet das, dass ein ISMS alle Maßnahmen und Prozesse definiert, die zum Schutz sensibler Daten notwendig sind. Dazu gehören Risikoanalysen, die Implementierung von Sicherheitsrichtlinien, die Überwachung der IT-Infrastruktur und regelmäßige Audits. Es handelt sich um einen fortlaufenden Prozess, der kontinuierlich verbessert und angepasst wird.“
Frage 3: Was ist das Ziel von ISMS?
Adnan Bastürk: „Das Hauptziel eines ISMS ist es, die Informationssicherheit im Unternehmen zu gewährleisten. Das bedeutet, dass alle Informationen – ob digital oder physisch – vor unbefugtem Zugriff, Verlust oder Beschädigung geschützt werden.„
Frage 4: Welche Tools/Software gibt es?
Adnan Bastürk: „Es gibt eine Vielzahl von Tools und Softwarelösungen, die Unternehmen bei der Implementierung und Verwaltung eines ISMS unterstützen. Bekannte Anbieter sind beispielsweise:
CONTECHNET INDITOR ISO: Diese Lösung unterstützt Unternehmen bei der Implementierung eines ISMS nach ISO 27001. Sie ermöglicht eine effiziente Strukturierung und Dokumentation des gesamten Informationssicherheitsmanagementsystems.
ISMS-SmartKit von byght: Ein weiteres Tool, das speziell für die ISMS-Implementierung entwickelt wurde. Es vereinfacht die Verwaltung von Sicherheitsprozessen und stellt sicher, dass alle relevanten Anforderungen schnell und präzise erfüllt werden.
Diese Kombination von Tools bietet Unternehmen flexible und effiziente Möglichkeiten, ein ISMS zu implementieren und zu verwalten, je nach individuellen Anforderungen und Präferenzen.”
Frage 5: Ist ein ISMS verpflichtend?
Adnan Bastürk: „Ein ISMS ist in bestimmten Branchen und für bestimmte Unternehmen verpflichtend, insbesondere wenn sie mit sensiblen Daten umgehen oder in regulierten Märkten tätig sind. Unternehmen, die z.B. im Finanzsektor oder in der Gesundheitsbranche tätig sind, unterliegen oft strengen Datenschutzgesetzen, die die Implementierung eines ISMS vorschreiben. Darüber hinaus verlangen viele Geschäftspartner oder Kunden die Einhaltung bestimmter Sicherheitsstandards, was ein ISMS zur Voraussetzung macht.“
Frage 6: Wie kann mein Unternehmen die ISMS Zertifizierung erlangen?
Adnan Bastürk: “Eine ISMS-Zertifizierung wird erlangt, indem ein Unternehmen ein strukturiertes Managementsystem zur Informationssicherheit implementiert und dies von einer akkreditierten Zertifizierungsstelle (Bsp. TÜV, DEKRA, BSI GROUP usw.) überprüfen lässt.”
Frage 7: Erzählen Sie uns von einer Case Study zur ISMS Implementierung
Adnan Bastürk: „Ein besonders spannendes Projekt haben wir mit der Stadt Nördlingen umgesetzt. Diese Große Kreisstadt in Bayern musste die Anforderungen des Bayerischen E-Government-Gesetzes erfüllen, das die Sicherheit der IT-Systeme in Kommunen vorschreibt. Der IT-Leiter, Herr Georg Kugler, sah darin die Chance, ein umfassendes ISMS aufzubauen – und hier kamen wir ins Spiel. Anstatt das vereinfachte ISIS12-Modell zu nutzen, entschied sich die Stadt für den IT-Grundschutz nach BSI-Standards, um eine umfassendere Absicherung zu erreichen. keepbit IT-SOLUTIONS wurde 2019 beauftragt, diesen Prozess zu unterstützen.”
Frage 8: Was waren dabei die größten Herausforderungen?
Adnan Bastürk: “Eine der größten Herausforderungen war es, ein ganzheitliches Sicherheitskonzept zu entwickeln, das alle Fachverfahren, Informationen und IT-Systeme der Stadt erfasst. Es ging also nicht nur darum, technische Lösungen wie Firewalls oder Virenschutz zu implementieren, sondern ein nachhaltiges Managementsystem für Informationssicherheit zu schaffen. Dafür haben wir gemeinsam mit der Stadt eine strukturierte Vorgehensweise entwickelt und regelmäßig Workshops abgehalten, um die einzelnen Schritte des IT-Grundschutzes zu besprechen und umzusetzen.”
Frage 9: Wie haben Sie das Projekt konkret umgesetzt?
Adnan Bastürk: “Wir haben mit der Softwarelösung INDITOR® BSI gearbeitet, die speziell für den IT-Grundschutz entwickelt wurde. Diese Software hat uns dabei geholfen, alle relevanten Prozesse zu dokumentieren und die notwendigen Sicherheitsmaßnahmen festzulegen. In den Workshops haben wir mit der Stadt Nördlingen regelmäßig Aufgabenpakete abgestimmt und die BSI-Anforderungen Schritt für Schritt umgesetzt. Dabei ging es um Dinge wie die Strukturanalyse, die Schutzbedarfsfeststellung und den IT-Grundschutz-Check.”
Frage 10: Was war das Ergebnis des Projekts?
Adnan Bastürk: “Nach der erfolgreichen Implementierung des ISMS haben wir ein Audit durch einen BSI-zertifizierten Auditteamleiter durchführen lassen. Das Ergebnis war äußerst positiv: Die Stadt Nördlingen hat die Anforderungen des Bayerischen E-Government-Gesetzes vollständig erfüllt und ein stabiles Informationssicherheitsmanagementsystem aufgebaut. Der IT-Grundschutz nach BSI wurde erfolgreich implementiert, und das Sicherheitsniveau der Stadt wurde signifikant erhöht. Dieser Erfolg zeigt, wie wichtig eine fundierte Informationssicherheitsstrategie für Kommunen ist. Wir bleiben weiterhin in engem Austausch mit der Stadt Nördlingen. Informationssicherheit ist ein kontinuierlicher Prozess, und das ISMS wird regelmäßig überprüft und weiterentwickelt.”