ISMS (Information Security Management System)

Bei einem Information Security Management System (ISMS) handelt es sich um eine Sammlung von Richtlinien und Prozessen, um sensible Daten in einem Unternehmen systematisch sichern zu können. Ein ISMS soll vor allem die Risiken minimieren und für Business Continuity sorgen. So soll es bereits im Vorfeld den durch einen wie auch immer gearteten Sicherheitsvorfall möglichen Schaden minimieren.

Ein ISMS enthält in der Regel sowohl Richtlinien für das Verhalten von Mitarbeitern und den Umgang mit Prozessen als auch mit Daten und Technologien im Allgemeinen. Es kann entweder nur auf bestimmte Informationen wie zum Beispiel Kundendaten oder auf das gesamte Unternehmen ausgerichtet sein und damit alle Prozesse betreffen, die mit Daten zu tun haben.

ISO 27001 enthält einige Spezifikationen und Hinweise, um ein ISMS zu erstellen. Dabei handelt es sich aber nicht um bereits vordefinierte Aktionen, sondern vor allem um Vorschläge für eine Dokumentation der Aktivitäten, für interne Audits, sowie für Maßnahmen zur Verbesserung, Kontrolle und Korrektur bestehender Prozesse.