Warum die ISMS-Struktur entscheidend für Informationssicherheit ist

Ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 ist weit mehr als eine Sammlung von technischen Sicherheitsmaßnahmen. Es ist ein strukturiertes Managementsystem, das Organisation, Prozesse, Verantwortlichkeiten und Richtlinien miteinander verbindet.

Viele Unternehmen unterschätzen diesen organisatorischen Teil der Informationssicherheit. Dabei zeigt die Praxis in Audits immer wieder:

Nicht die Technik ist das größte Problem – sondern fehlende Struktur und unklare Verantwortlichkeiten.

Dieser Artikel erklärt:

• wie ein ISMS aufgebaut ist
• welche Rollen und Verantwortlichkeiten notwendig sind
• welche Sicherheitsrichtlinien erforderlich sind
• wie Dokumentation in der Praxis funktioniert
• und warum die ISMS-Struktur ein zentraler Erfolgsfaktor für ISO 27001 ist

 

Was bedeutet ISMS nach ISO 27001?

Ein ISMS ist ein systematischer Rahmen zur Steuerung der Informationssicherheit in einem Unternehmen.

Es stellt sicher, dass:

• Risiken identifiziert werden
• geeignete Sicherheitsmaßnahmen definiert werden
• Prozesse dokumentiert und gelebt werden
• Verantwortlichkeiten klar geregelt sind
• Sicherheitsniveau kontinuierlich verbessert wird

Die ISO/IEC 27001 fordert dabei keinen festen Organisationsaufbau, sondern ein funktionierendes, nachvollziehbares System.

 

Grundstruktur eines ISMS

Ein ISMS besteht typischerweise aus mehreren ineinandergreifenden Ebenen:

1. Governance-Ebene

Hier wird die strategische Richtung definiert.

Dazu gehören:

• Informationssicherheitspolitik
• Sicherheitsziele
• Risikoakzeptanzkriterien
• Management-Commitment

Die Geschäftsleitung trägt hier die Gesamtverantwortung.

 

2. Organisationsstruktur

Diese Ebene definiert Verantwortlichkeiten und Rollen.

Typische Rollen sind:

• ISMS-Manager / Informationssicherheitsbeauftragter
• IT-Leitung
• Datenschutzbeauftragter
• Fachbereichsverantwortliche
• System-Owner
• interne Auditoren

Wichtig ist eine klare Abgrenzung der Verantwortlichkeiten.

 

3. Prozess-Ebene

Hier werden die operativen Abläufe definiert.

Beispiele:

• Risikoanalyseprozess
• Incident-Management-Prozess
• Change-Management
• Access-Management
• Backup- und Recovery-Prozesse
• Lieferantenmanagement

Diese Prozesse müssen dokumentiert, nachvollziehbar und wiederholbar sein.

 

4. Technische Ebene

Diese Ebene umfasst die technischen Sicherheitsmaßnahmen.

Beispiele:

• Firewalls
• Endpoint Protection
• Verschlüsselung
• Identity & Access Management
• Monitoring & Logging
• Netzwerksegmentierung

Technik allein ist jedoch nicht ausreichend ohne Governance und Prozesse.

 

ISMS-Richtlinien als Grundlage der Sicherheit

Sicherheitsrichtlinien (Policies) sind ein zentrales Element der ISO 27001.

Sie definieren verbindliche Regeln für das Unternehmen.

 

Informationssicherheitsleitlinie

Die oberste Richtlinie im ISMS.

Sie beschreibt:

• Ziele der Informationssicherheit
• Geltungsbereich
• Verantwortlichkeiten der Geschäftsleitung
• grundlegende Sicherheitsprinzipien

 

Weitere typische Sicherheitsrichtlinien

Zugriffskontrollrichtlinie

Regelt:

• wer Zugriff auf welche Systeme hat
• wie Berechtigungen vergeben werden
• Prinzip der minimalen Rechte (Least Privilege)

 

Passwort- und Authentifizierungsrichtlinie

Regelt:

• Passwortanforderungen
• Multi-Faktor-Authentifizierung
• Umgang mit Zugangsdaten

 

Incident-Management-Richtlinie

Regelt:

• Umgang mit Sicherheitsvorfällen
• Eskalationswege
• Meldepflichten
• Reaktionszeiten

 

Backup- und Wiederherstellungsrichtlinie

Regelt:

• Backup-Intervalle
• Speicherorte
• Wiederherstellungstests

 

Lieferantenrichtlinie

Regelt:

• Sicherheitsanforderungen an Dienstleister
• Bewertung externer Anbieter
• Vertragsanforderungen

 

Awareness- und Schulungsrichtlinie

Regelt:

• regelmäßige Mitarbeiterschulungen
• Phishing-Trainings
• Sicherheitskommunikation

 

Dokumentationsanforderungen in der ISO 27001

Ein ISMS ist stark dokumentationsbasiert.

Die Norm verlangt keine übermäßige Bürokratie, aber nachvollziehbare Nachweise.

Typische Dokumente sind:

• Sicherheitsrichtlinien
• Prozessbeschreibungen
• Risikoanalysen
• SoA (Statement of Applicability)
• Auditberichte
• Schulungsnachweise
• Incident-Reports

Wichtig ist: Dokumentation muss aktuell und anwendbar sein – nicht nur vorhanden.

 

Rollen und Verantwortlichkeiten im ISMS

Klare Verantwortlichkeiten sind ein zentraler Erfolgsfaktor.

Geschäftsleitung

• Gesamtverantwortung
• Bereitstellung von Ressourcen
• Freigabe von Richtlinien
• strategische Entscheidungen

 

ISMS-Manager

• Betrieb des ISMS
• Koordination von Risiken
• Dokumentation
• Vorbereitung von Audits

 

IT-Abteilung

• Umsetzung technischer Maßnahmen
• Systembetrieb
• Patch-Management
• Monitoring

 

Fachbereiche

• Umsetzung organisatorischer Vorgaben
• Einhaltung von Richtlinien
• Unterstützung bei Risikoanalysen

 

Zusammenspiel von Richtlinien, Prozessen und Technik

Ein häufiges Problem in Unternehmen ist die Trennung dieser Ebenen.

Die ISO 27001 verfolgt jedoch einen ganzheitlichen Ansatz:

• Richtlinien definieren das „Was“
• Prozesse definieren das „Wie“
• Technik setzt das „Womit“ um

Nur das Zusammenspiel dieser Ebenen führt zu einem wirksamen ISMS.

 

Typische Schwachstellen in der ISMS-Struktur

In der Praxis treten häufig folgende Probleme auf:

Unklare Verantwortlichkeiten

Niemand fühlt sich wirklich zuständig.

 

Fehlende oder veraltete Richtlinien

Dokumente existieren, werden aber nicht gepflegt.

 

ISMS nur auf dem Papier

Prozesse werden nicht im Alltag gelebt.

 

Fehlende Integration in IT und Fachbereiche

ISMS ist isoliert organisiert.

 

ISMS-Struktur und Audit-Anforderungen

Im Audit wird geprüft:

• ob Verantwortlichkeiten klar definiert sind
• ob Richtlinien vorhanden und aktuell sind
• ob Prozesse gelebt werden
• ob Dokumentation nachvollziehbar ist
• ob das Management eingebunden ist

Eine gute ISMS-Struktur ist daher entscheidend für eine erfolgreiche Zertifizierung.

 

Resümee

Die ISMS-Struktur und Sicherheitsrichtlinien bilden das Fundament der ISO/IEC 27001. Ohne klare Rollen, Prozesse und verbindliche Vorgaben ist kein wirksames ISMS möglich. Entscheidend ist das Zusammenspiel von Governance, Prozessen, Verantwortlichkeiten und Technik. Nur so entsteht ein nachhaltiges, auditfähiges Informationssicherheitsniveau.

 

Unser Angebot für Sie:

• Gap-Analyse Ihres ISMS im Kontext von NIS-2 und KRITIS
• Aufbau oder Anpassung von Risiko- und Sicherheitskonzepten nach NIS-2
• Unterstützung bei Incident-Management, Lieferkette und Meldepflichten
• Vorbereitung auf NIS-2 Nachweise sowie ISO 27001 Audits
• Schulungen für Geschäftsführung und Fachbereiche zu NIS-2 und IT-Sicherheit

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie
zu KRITIS, IT-Sicherheit und Datenschutz.

Sichere Beratung und Implementierung der ISO 27001 mit tec4net
https://www.tec4net.com/web/iso-27001/

Offizielle TISAX-Seite der ENX Association
https://enx.com/en-US/tisax/

ISO/IEC 27001:2022 – Grundlagen und Normenübersicht
https://www.iso.org/standard/27001

Fragen und Antworten zu TISAX
https://www.tec4net.com/web/category/wissen-tisax/

Risikomanagement und Business Continuity nach ISO 22301
https://www.iso.org/standard/50038.html

Datenschutz-Grundverordnung (DSGVO) – offizielle Informationen
https://eur-lex.europa.eu/eli/reg/2016/679/oj

BSI – IT-Grundschutz und Informationssicherheit
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html