Glossar
ISMS – Informationssicherheits-Managementsystem
Systematischer Rahmen zur Steuerung der Informationssicherheit
Definition
Ein ISMS ist ein dokumentiertes, systematisches Vorgehen zur Planung, Umsetzung, Überprüfung und Verbesserung der Informationssicherheit. Es ist der zentrale Rahmen, in dem Risiken erkannt, Maßnahmen umgesetzt und deren Wirksamkeit nachgewiesen werden. Die weltweit führende Normbasis ist ISO/IEC 27001.
Praxisbezug
Ein ISMS besteht nicht aus Papier, sondern aus gelebten Prozessen: Kontext, Leitlinien, Rollen, Risikoanalyse, Risikobehandlung, Maßnahmen, Schulung, interne Audits, Managementbewertung. Zertifizierungsfähig wird ein ISMS, wenn die Pflichtanforderungen der Klauseln 4-10 der ISO 27001 erfüllt sind und die im SoA ausgewählten Controls nachweislich umgesetzt werden. Der Betrieb ist dauerhaft im PDCA-Zyklus.
Verwandte Begriffe
In MGMSYS
Das ISMS-Modul bildet alle Klauseln und Controls ab: Kontextanalyse, Risikoregister, Risikobewertung, SoA-Generierung, Maßnahmenverfolgung, interne Audits und Managementbewertung.
Quelle
ISO/IEC 27001:2022, Klauseln 4–10