Wie gehe ich vor, um ein Informationssicherheitsmanagementsystem aufzubauen?

• Ziele definieren: Bestimmen Sie die Ziele des ISMS. Wenn es bereits eine Verwaltungsstrategie gibt, sollten die Ziele des ISMS mit diesen strategischen Zielen übereinstimmen bzw. diese sinnvoll ergänzen. Mögliche Ziele für das ISMS lassen sich aus dem Sächsischen Informationssicherheitsgesetz oder der Digitalen Agenda der Kommune ableiten. Ein wichtiges Ziel ist es, die Handlungsfähigkeit der Verwaltung und den Fortgang der Geschäfte (Business-Continuity) sicherzustellen.
• Umfang bestimmen: Definieren Sie, auf welche Teile der Organisation das ISMS angewendet wird (z. B. bestimmte Abteilungen, Standorte oder IT-Systeme).

• Entscheider einbinden: Es ist entscheidend, dass die oberste Führungskraft das ISMS unterstützt und ausreichende Ressourcen (z. B. Budget, Personal) bereitstellt. Auch alle fachlich verantwortlichen Führungskräfte müssen ihre jeweilige Verantwortung für Bereiche des ISMS anerkennen und wahrnehmen. Die Gesamtverantwortung für Informationssicherheit in der Kommune obliegt der oberste Führungskraft.
• Verantwortlichkeiten zuweisen: Bestimmen Sie die Verantwortlichen für das ISMS, z. B. einen Beauftragten für Informationssicherheit, der das System überwacht und weiterentwickelt. Für die Umsetzung einzelner Maßnahmen des ISMS können unterschiedliche Bereiche zuständig sein. Zudem ist es gut, wenn das Thema auf mehrere Schultern verteilt wird, um im Vertretungsfall kein zusätzliches Risiko einzugehen.

Ein kompletter immerwährender Schutz eine Illusion. Deshalb ist es wichtig, Risiken, die Eintrittswahrscheinlichkeit für die eigene Organisation und das zu erwartende Schadenausmaß abzuwägen. Mit folgenden Schritten können Sie leicht ein Risikomanagement etablieren:

• Risiken identifizieren: Erstellen Sie eine Liste möglicher Bedrohungen und Schwachstellen, welche die Informationssicherheit beeinträchtigen könnten. Dazu gehören z. B. Cyberangriffe, Fehler durch Mitarbeiter oder unzureichende IT-Infrastruktur.
• Risiken bewerten: Bewerten Sie die identifizierten Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und möglichen Auswirkungen auf die Organisation.
• Maßnahmen festlegen: Definieren Sie Sicherheitsmaßnahmen, um die identifizierten Risiken zu verringern oder zu beseitigen. Die Schutzmaßnahmen können technische, organisatorische oder physische Aktivitäten umfassen.

• Sicherheitsrichtlinien erstellen: Entwickeln und dokumentieren Sie klare Sicherheitsrichtlinien, welche die Regeln und Vorgehensweisen festlegen, wie mit Informationen in der Organisation (und im Homeoffice) umzugehen ist.
• Verfahren und Prozesse definieren: Definieren Sie konkrete Verfahren, um die entwickelten Sicherheitsrichtlinien, z. B. zur Passwortsicherheit, Datenverschlüsselung oder zum Notfallmanagement zu implementieren.

• Schulungen anbieten: Alle Mitarbeiter sollten regelmäßig zu Informationssicherheitsrisiken und Best Practices geschult werden. Dies umfasst sowohl aktuelle Bedrohungsszenarien, z. B. wie man sich vor Phishing-Angriffen schützt als auch organisatorische Aspekte, z.B. das richtige Verhalten bei Datenzugriff bzw. wie man unbefugten Datenzugriff verhindert.
• Sensibilisierung fördern: Eine Sicherheitskultur in der Organisation zu etablieren, ist von zentraler Bedeutung. Achten Sie darauf, dass alle Mitarbeiter verstehen, das Jede(r) zur Informationssicherheit durch das eigene Verhalten beiträgt.

• Zugangskontrollen: Implementieren Sie strenge Zugangskontrollen, um sicherzustellen, dass nur autorisierte Personen auf vertrauliche Informationen zugreifen können. Das gilt auch für Räume, in denen kritische Infrastruktur steht, wie beispielsweise Serverräume.
• Verschlüsselung: Setzen Sie Verschlüsselungstechnologien ein, um Daten zu schützen, sowohl bei der Übertragung als auch bei der Speicherung.
• Firewalls, Antiviren-Software und Monitoring-Tools: Stellen Sie sicher, dass geeignete technische Schutzmaßnahmen wie Firewalls, Antiviren-Software und "Einbruchmeldesysteme" eingesetzt werden, um Bedrohungen abzuwehren bzw. frühzeitig zu erkennen.

• Überwachungssysteme implementieren: Verwenden Sie Monitoring-Tools, um sicherzustellen, dass alle Sicherheitsmaßnahmen wie gewünscht funktionieren und keine unbefugten Zugriffe oder Schwachstellen auftreten.
• Kontrollen durchführen: Führen Sie regelmäßige Audits und Tests durch, z. B. Penetrationstests oder interne Sicherheitsbewertungen, um zu prüfen, ob die Sicherheitsmaßnahmen wirksam sind.

• Notfallplan entwickeln: Entwickeln Sie einen Notfallplan, der beschreibt, wie bei einem Sicherheitsvorfall oder einer Störung (z. B. einem Datenleck oder einem Cyberangriff) schnell und effektiv reagiert wird.
• Wiederherstellungsprozesse definieren: Legen Sie fest, wie die Systeme im Falle eines Ausfalls oder Angriffs schnell wiederhergestellt werden können. Dies umfasst Backups und Wiederherstellungsverfahren.

Überprüfen und Analysieren: Überprüfen Sie regelmäßig die Sicherheitsmaßnahmen und analysieren Sie, ob diese den aktuellen Anforderungen und Bedrohungen gerecht werden. Nutzen Sie dafür den PDCA-Zyklus, um das ISMS kontinuierlich zu verbessern. der Zyklus besteht aus folgenden Aktivitäten:

• Plan: Risiken bewerten und Maßnahmen planen.
• Do: Maßnahmen umsetzen.
• Check: Überprüfen, ob die Maßnahmen wirksam sind.
• Act: Verbessern und Anpassungen vornehmen.