TISAX® Kapitel 1.2.1
Inwieweit wird in der Organisation Informationssicherheit gemanagt?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Nur wenn Informationssicherheit in den strategischen Zielen einer Organisation verankert ist, kann Informationssicherheit nachhaltig in einer Organisation umgesetzt werden. Das Informationssicherheitsmanagementsystem (ISMS) ist ein Steuerungsinstrument für die Organisationsleitung, mit dem sie sicherstellt, dass Informationsicherheit nicht nur ein Ergebnis von Zufällen und individuellem Engagement, sondern von nachhaltigem Management ist.
Anforderungen
- Muss
- Der Geltungsbereich (Scope) des ISMS (die vom ISMS gemanagte Organisation) ist festgelegt
- Muss
- Die Anforderungen der Organisation an das ISMS sind ermittelt
- Muss
- Die Organisationsleitung hat das ISMS beauftragt und freigegeben
- Muss
- Das ISMS stellt der Organisationsleitung geeignete Kontroll- und Steuerungsmittel zur Verfügung (z. B. Management-Review)
- Muss
- Anwendbare Maßnahmen wurden ermittelt (z.B. ISO 27001 Erklärung zur Anwendbarkeit, ausgefüllter ISA-Katalog).
- Muss
- Die Wirksamkeit des ISMS wird regelmäßig durch das Management überprüft.
Umsetzung
Verstehen der Organisation und ihres Kontextes
Um ein effektives Informationssicherheitsmanagementsystem (ISMS) zu implementieren, ist es unerlässlich, die Organisation und ihren Kontext zu verstehen. Dies beinhaltet die Identifizierung von internen und externen Themen, die für den Zweck der Organisation relevant sind und ihre Fähigkeit beeinflussen, die beabsichtigten Ergebnisse ihres ISMS zu erreichen.
Diese Themen könnten eine Vielzahl von Faktoren umfassen, von der Organisationsstruktur und Kultur bis hin zu gesetzlichen und regulatorischen Anforderungen und Markttrends. Die Bestimmung dieser Themen ist ein wichtiger Schritt zur Festlegung des Kontexts der Organisation, wie in ISO 31000:2018, 5.4.1, beschrieben.
Verstehen der Erfordernisse und Erwartungen interessierter Parteien
Die Organisation muss auch die interessierten Parteien identifizieren, die für ihr ISMS relevant sind, und ihre Anforderungen verstehen. Interessierte Parteien könnten Kunden, Mitarbeiter, Lieferanten, Regulierungsbehörden und andere Stakeholder sein. Es ist wichtig zu bestimmen, welche Anforderungen dieser Parteien durch das ISMS erfüllt werden sollen.
Diese Anforderungen können gesetzliche und regulatorische Vorgaben sowie vertragliche Verpflichtungen beinhalten.
Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems
Nachdem die Organisation ihre relevanten Themen und die Anforderungen der interessierten Parteien verstanden hat, muss sie den Anwendungsbereich ihres ISMS festlegen. Dies beinhaltet die Bestimmung der Grenzen und Anwendbarkeit des ISMS. Bei der Festlegung des Anwendungsbereichs muss die Organisation die in 4.1 und 4.2 aufgeführten Themen und Anforderungen berücksichtigen, sowie die Schnittstellen und Abhängigkeiten zwischen den von der Organisation selbst durchgeführten Tätigkeiten und den von anderen Organisationen durchgeführten Tätigkeiten. Der Anwendungsbereich muss als dokumentierte Information verfügbar sein.
Informationssicherheitsmanagementsystem
Schließlich muss die Organisation ein ISMS aufbauen, verwirklichen, aufrechterhalten und fortlaufend verbessern, einschließlich der benötigten Prozesse und ihrer Wechselwirkungen.
Dieses ISMS sollte als ein dynamisches und sich ständig weiterentwickelndes System betrachtet werden, das sich an die sich ändernden Bedürfnisse der Organisation und ihrer interessierten Parteien anpasst.
