ISMS Definition
Informationssicherheits-Managementsystem einfach und verständlich erklärt.
ISMS Definition — Informationssicherheits-Managementsystem einfach erklärt
Was genau bedeutet ISMS? Die ISMS Definition ist der Ausgangspunkt für jedes Unternehmen, das seine Informationssicherheit systematisch und nachhaltig gestalten möchte. In diesem vollständigen Leitfaden erklären wir Ihnen die ISMS Abkürzung, die ISMS Bedeutung im geschäftlichen Kontext und wie ein Informationssicherheits-Managementsystem nach ISO 27001 konkret aufgebaut ist. Mit praxisnahen Beispielen, dem PDCA-Zyklus und einer vollständigen Übersicht der Komponenten erhalten Sie das Wissen, um ein ISMS für Ihr Unternehmen zu bewerten und einzuführen.
ISMS Abkürzung und Bedeutung
Die ISMS Abkürzung steht für Information Security Management System — auf Deutsch: Informationssicherheits-Managementsystem. Die ISMS Bedeutung umfasst weit mehr als eine einzelne Software oder Firewall. Ein ISMS ist ein strukturiertes Rahmenwerk aus Richtlinien, Prozessen, Verantwortlichkeiten, technischen und organisatorischen Maßnahmen, das die Informationssicherheit in einer Organisation systematisch plant, umsetzt, überwacht und kontinuierlich verbessert.
Die Informationssicherheits-Managementsystem Definition nach ISO/IEC 27000:2018 lautet:
Wir übernehmen die ISB-Rolle als externer Dienstleister — ISO 27001, BSI IT-Grundschutz, NIS-2 und TISAX aus einer Hand. Bundesweit, ab 500 € / Monat.
→ Externen Informationssicherheitsbeauftragten anfragen„Ein ISMS umfasst Richtlinien, Verfahren, Leitlinien und damit verbundene Ressourcen und Aktivitäten, die von einer Organisation gemeinsam verwaltet werden, um ihre Informationswerte zu schützen.“
Wichtig ist dabei der Management-Aspekt: Ein ISMS ist kein einmaliges Projekt, sondern ein lebendiger Prozess, der in die Unternehmensführung integriert wird. Es verknüpft die drei zentralen Schutzziele der Informationssicherheit:
- Vertraulichkeit (Confidentiality): Informationen sind nur für autorisierte Personen zugänglich.
- Integrität (Integrity): Daten sind vollständig, korrekt und vor unautorisierten Änderungen geschützt.
- Verfügbarkeit (Availability): Systeme und Informationen stehen bei Bedarf zuverlässig zur Verfügung.
Zusätzlich berücksichtigt ein modernes ISMS häufig erweiterte Schutzziele wie Authentizität, Nichtabstreitbarkeit und Zurechenbarkeit — je nach Branche und regulatorischen Anforderungen.
Was ist ein ISMS? Der vollständige Ansatz
Viele Unternehmen setzen einzelne IT-Sicherheitsmaßnahmen ein — eine Firewall hier, ein Virenscanner dort. Ein ISMS geht einen grundsätzlich anderen Weg: Es betrachtet Informationssicherheit als vollständiges Managementsystem, das alle Bereiche der Organisation durchdringt.
Ein ISMS unterscheidet sich von punktuellen Maßnahmen durch folgende Merkmale:
- Systematischer Ansatz: Statt reaktiver Einzellösungen verfolgt ein ISMS eine durchdachte, risikobasierte Strategie.
- Top-Down-Verankerung: Die Geschäftsleitung trägt die Verantwortung und stellt Ressourcen bereit.
- Prozessorientierung: Sicherheitsmaßnahmen werden in bestehende Geschäftsprozesse integriert.
- Kontinuierliche Verbesserung: Durch regelmäßige Überprüfungen und Anpassungen bleibt das ISMS aktuell.
- Dokumentation: Alle Richtlinien, Maßnahmen und Entscheidungen werden nachvollziehbar dokumentiert.
- Messbarkeit: Kennzahlen und Audits machen den Sicherheitsstand objektiv bewertbar.
Komponenten eines ISMS im Überblick
Ein vollständiges Informationssicherheits-Managementsystem besteht aus mehreren ineinandergreifenden Bausteinen. Die folgende Tabelle zeigt die wesentlichen Komponenten und ihre Funktion:
| Komponente | Beschreibung | Beispiele |
|---|---|---|
| Informationssicherheitsleitlinie | Übergeordnetes Dokument mit Zielen, Grundsätzen und Verantwortlichkeiten | Security Policy, Sicherheitsstrategie |
| Risikomanagement | Systematische Identifikation, Bewertung und Behandlung von Risiken | Risikoanalyse, Risikoregister, Risikobehandlungsplan |
| Asset-Management | Erfassung und Klassifikation aller schützenswerten Informationswerte | Asset-Inventar, Datenklassifikation |
| Organisatorische Maßnahmen | Rollen, Verantwortlichkeiten und Prozesse für die Informationssicherheit | CISO-Rolle, Sicherheitsorganisation, Richtlinien |
| Personelle Maßnahmen | Schulung, Sensibilisierung und Verpflichtung der Mitarbeiter | Security Awareness, Einstellungsprüfungen |
| Technische Maßnahmen | IT-Sicherheitslösungen zum Schutz von Systemen und Daten | Verschlüsselung, Zugangskontrollen, Firewalls, SIEM |
| Physische Sicherheit | Schutz der physischen Infrastruktur und Räumlichkeiten | Zutrittskontrolle, Serverraumschutz, USV |
| Incident Management | Erkennung, Reaktion und Nachbereitung von Sicherheitsvorfällen | Incident-Response-Plan, Meldewege, Forensik |
| Business Continuity | Notfallvorsorge und Wiederherstellung des Geschäftsbetriebs | Notfallpläne, Backup-Konzepte, Wiederanlaufpläne |
| Compliance & Audit | Einhaltung gesetzlicher und vertraglicher Anforderungen | Interne Audits, Management-Reviews, Zertifizierungsaudits |
| Kontinuierliche Verbesserung | PDCA-Zyklus zur ständigen Weiterentwicklung des ISMS | Korrekturmaßnahmen, Lessons Learned, KVP |
Diese Komponenten bilden zusammen ein geschlossenes System, in dem jede Maßnahme auf die andere aufbaut und zum Gesamtschutz der Organisation beiträgt.
Der PDCA-Zyklus: Motor des ISMS
Das Herzstück jedes ISMS ist der PDCA-Zyklus (Plan-Do-Check-Act), auch bekannt als Deming-Zyklus. Er sorgt dafür, dass Informationssicherheit kein statischer Zustand bleibt, sondern sich kontinuierlich weiterentwickelt. ISO 27001 basiert strukturell auf diesem Prinzip:
Phase 1: Plan (Planen)
In der Planungsphase legen Sie das Fundament Ihres ISMS:
- Kontext der Organisation: Verstehen Sie Ihre Geschäftstätigkeit, die interessierten Parteien und den Anwendungsbereich des ISMS.
- Informationssicherheitsleitlinie: Formulieren Sie die übergeordneten Ziele und Grundsätze.
- Risikobeurteilung: Identifizieren und bewerten Sie alle relevanten Risiken systematisch.
- Risikobehandlung: Wählen Sie geeignete Maßnahmen (Controls) aus dem Annex A der ISO 27001.
- Statement of Applicability (SoA): Dokumentieren Sie, welche Controls anwendbar sind und warum.
- Ressourcenplanung: Stellen Sie Budget, Personal und Werkzeuge sicher.
Phase 2: Do (Umsetzen)
In der Umsetzungsphase wird das geplante ISMS in die Praxis gebracht:
- Maßnahmen implementieren: Technische und organisatorische Controls einführen.
- Rollen besetzen: Informationssicherheitsbeauftragten und weitere Verantwortliche benennen.
- Mitarbeiter schulen: Security-Awareness-Programme durchführen.
- Dokumentation erstellen: Richtlinien, Verfahrensanweisungen und Arbeitsanweisungen verfassen.
- Prozesse integrieren: Sicherheitsmaßnahmen in den Geschäftsalltag einbetten.
Phase 3: Check (Überprüfen)
Die Überprüfungsphase stellt sicher, dass das ISMS wie geplant funktioniert:
- Interne Audits: Regelmäßige Prüfung aller ISMS-Prozesse und -Maßnahmen.
- Management-Review: Die Geschäftsleitung bewertet die Wirksamkeit des ISMS.
- Kennzahlen messen: Sicherheitsmetriken erheben und auswerten (z. B. Anzahl der Vorfälle, Patchstatus, Schulungsquote).
- Compliance prüfen: Abgleich mit gesetzlichen und vertraglichen Anforderungen.
- Penetrationstests: Technische Überprüfung der Schutzmaßnahmen.
Phase 4: Act (Verbessern)
Auf Basis der Erkenntnisse aus der Check-Phase werden Verbesserungen umgesetzt:
- Korrekturmaßnahmen: Identifizierte Schwachstellen und Nichtkonformitäten beheben.
- Prozesse optimieren: Abläufe anpassen und effizienter gestalten.
- Risikobewertung aktualisieren: Neue Bedrohungen und veränderte Rahmenbedingungen berücksichtigen.
- Lessons Learned: Erkenntnisse aus Sicherheitsvorfällen und Audits systematisch aufarbeiten.
- Strategische Weiterentwicklung: Das ISMS an neue Geschäftsanforderungen anpassen.
Durch die kontinuierliche Wiederholung dieses Zyklus reift Ihr ISMS mit jeder Iteration und passt sich dynamisch an neue Bedrohungslagen an.
ISMS nach ISO 27001: Der internationale Standard
Die ISO 27001 ist der weltweit anerkannte Standard für Informationssicherheits-Managementsysteme. Sie definiert die Anforderungen an Aufbau, Implementierung, Betrieb, Überwachung und Verbesserung eines ISMS. Die aktuelle Fassung ISO/IEC 27001:2022 strukturiert die Anforderungen in zehn Kapitel:
- Anwendungsbereich: Geltungsbereich des Standards
- Normative Verweisungen: Verweis auf ISO/IEC 27000
- Begriffe und Definitionen: Terminologie
- Kontext der Organisation: Interne und externe Einflussfaktoren, Anwendungsbereich
- Führung: Verpflichtung der Leitung, Leitlinie, Rollen und Verantwortlichkeiten
- Planung: Risikomanagement, Sicherheitsziele
- Unterstützung: Ressourcen, Kompetenz, Bewusstsein, Kommunikation, Dokumentation
- Betrieb: Operative Planung und Steuerung, Risikobeurteilung und -behandlung
- Bewertung der Leistung: Überwachung, interne Audits, Management-Review
- Verbesserung: Nichtkonformitäten, Korrekturmaßnahmen, kontinuierliche Verbesserung
Annex A: Die 93 Controls im Überblick
Der Annex A der ISO 27001:2022 enthält 93 Sicherheitsmaßnahmen (Controls), gruppiert in vier Themenbereiche:
| Themenbereich | Anzahl Controls | Schwerpunkte |
|---|---|---|
| Organisatorische Maßnahmen | 37 | Richtlinien, Rollen, Asset-Management, Zugangssteuerung, Lieferantenbeziehungen, Incident Management, Compliance |
| Personenbezogene Maßnahmen | 8 | Einstellungsprüfung, Arbeitsverträge, Schulung, Disziplinarverfahren, Verantwortlichkeiten bei Beendigung |
| Physische Maßnahmen | 14 | Perimeterschutz, Zutrittskontrolle, Schutz vor Umwelteinflüssen, Geräteentsorgung, Clear Desk |
| Technologische Maßnahmen | 34 | Endgeräte, Zugangsrechte, Kryptografie, Netzwerksicherheit, sichere Entwicklung, Schwachstellenmanagement, Logging |
Die ISO 27001:2022 hat zudem 11 neue Controls eingeführt, darunter Threat Intelligence, Cloud-Sicherheit, ICT-Bereitschaft für Business Continuity und Datenmaskierung. Unternehmen müssen nicht alle 93 Controls umsetzen, sondern wählen basierend auf ihrer Risikobeurteilung die relevanten aus.
ISMS nach BSI IT-Grundschutz
Neben ISO 27001 ist der BSI IT-Grundschutz eine in Deutschland weit verbreitete Methodik zum Aufbau eines ISMS. Der Grundschutz bietet einen praxisorientierten Ansatz mit detaillierten Umsetzungsempfehlungen:
- BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)
- BSI-Standard 200-2: IT-Grundschutz-Methodik (Basis-, Standard- und Kern-Absicherung)
- BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz
- BSI-Standard 200-4: Business Continuity Management
- IT-Grundschutz-Kompendium: Umfangreicher Maßnahmenkatalog mit konkreten Bausteinen
Der große Vorteil des BSI-Ansatzes liegt in der Detailtiefe der Umsetzungshinweise. Während ISO 27001 die „Was“-Ebene definiert, liefert der IT-Grundschutz konkrete Anleitungen zum „Wie“. Viele Organisationen kombinieren beide Ansätze: ISO 27001 als Rahmenwerk und BSI IT-Grundschutz als Umsetzungsleitfaden.
Risikomanagement im ISMS: Der zentrale Prozess
Das Risikomanagement ist das Herzstück jedes ISMS. Es bestimmt, welche Maßnahmen in welcher Priorität umgesetzt werden. Der Prozess gliedert sich in fünf Schritte:
Schritt 1: Kontext festlegen
Definieren Sie Risikokriterien, Bewertungsmaßstäbe und Akzeptanzschwellen. Berücksichtigen Sie dabei die Geschäftsziele, regulatorischen Anforderungen und die Risikobereitschaft der Organisation.
Schritt 2: Risiken identifizieren
Erfassen Sie systematisch alle Bedrohungen und Schwachstellen, die Ihre Informationswerte betreffen können. Typische Methoden sind Workshops, Asset-basierte Analysen und Bedrohungskataloge (z. B. BSI-Gefährdungskataloge).
Schritt 3: Risiken analysieren
Bewerten Sie jedes Risiko nach Eintrittswahrscheinlichkeit und potenziellem Schadensausmaß. Die Kombination beider Faktoren ergibt das Risikoniveau. Nutzen Sie eine Risikomatrix zur Visualisierung:
| Eintrittswahrscheinlichkeit / Schaden | Gering | Mittel | Hoch | Sehr hoch |
|---|---|---|---|---|
| Sehr wahrscheinlich | Mittel | Hoch | Sehr hoch | Kritisch |
| Wahrscheinlich | Gering | Mittel | Hoch | Sehr hoch |
| Möglich | Gering | Gering | Mittel | Hoch |
| Unwahrscheinlich | Vernachlässigbar | Gering | Gering | Mittel |
Schritt 4: Risiken behandeln
Für jedes identifizierte Risiko wählen Sie eine von vier Behandlungsoptionen:
- Risikominderung: Maßnahmen implementieren, um Wahrscheinlichkeit oder Auswirkung zu reduzieren.
- Risikovermeidung: Die risikobehaftete Aktivität einstellen oder grundsätzlich ändern.
- Risikotransfer: Das Risiko an Dritte übertragen (z. B. Cyber-Versicherung, Outsourcing).
- Risikoakzeptanz: Das Risiko bewusst tragen, wenn es innerhalb der definierten Akzeptanzschwelle liegt.
Schritt 5: Risiken überwachen
Risiken verändern sich kontinuierlich. Neue Bedrohungen entstehen, Geschäftsprozesse ändern sich, Technologien werden eingeführt oder abgelöst. Deshalb muss die Risikobeurteilung regelmäßig wiederholt werden — mindestens jährlich oder bei wesentlichen Änderungen.
ISMS aufbauen: Die 7 wichtigsten Schritte
Der Aufbau eines ISMS ist ein strukturiertes Projekt, das typischerweise 6 bis 18 Monate dauert — je nach Unternehmensgröße und vorhandenem Reifegrad. Die folgenden Schritte bilden den bewährten Pfad:
- Management-Commitment sichern: Ohne die aktive Unterstützung der Geschäftsleitung scheitert jedes ISMS. Holen Sie sich ein klares Bekenntnis zu Ressourcen, Zielen und Verantwortlichkeiten.
- Anwendungsbereich definieren: Legen Sie fest, welche Standorte, Abteilungen, Prozesse und Systeme das ISMS umfasst. Starten Sie fokussiert — ein zu breiter Scope überfordert.
- Bestandsaufnahme durchführen: Erfassen Sie alle Informationswerte (Assets), bestehende Maßnahmen und den aktuellen Sicherheitsstand (Gap-Analyse).
- Risikobeurteilung durchführen: Identifizieren, analysieren und bewerten Sie die Risiken für Ihre Informationswerte.
- Maßnahmen planen und umsetzen: Wählen Sie geeignete Controls, erstellen Sie einen Risikobehandlungsplan und implementieren Sie die Maßnahmen schrittweise.
- Dokumentation erstellen: Verfassen Sie alle erforderlichen Richtlinien, Verfahren und Nachweise. ISO 27001 fordert eine definierte Menge an dokumentierten Informationen.
- Überwachen und verbessern: Führen Sie interne Audits und Management-Reviews durch, messen Sie Kennzahlen und starten Sie den PDCA-Zyklus erneut.
Die professionelle ISMS-Beratung kann diesen Prozess erheblich beschleunigen und sicherstellen, dass typische Fallstricke vermieden werden.
Typische Herausforderungen bei der ISMS-Einführung
Die Praxis zeigt, dass Unternehmen bei der ISMS-Einführung regelmäßig auf ähnliche Hürden stoßen:
- Fehlendes Management-Commitment: Ohne Rückhalt von oben bleiben Sicherheitsmaßnahmen Stückwerk.
- Zu breiter Anwendungsbereich: Wer alles gleichzeitig absichern will, verzettelt sich. Starten Sie fokussiert.
- Überbürokratisierung: Ein ISMS braucht Dokumentation, aber kein Papiermonster. Halten Sie Prozesse schlank und praxisnah.
- Mangelnde Mitarbeiterakzeptanz: Sicherheitsmaßnahmen, die den Arbeitsalltag behindern, werden umgangen. Schulung und Kommunikation sind wichtig.
- Fehlende Ressourcen: Ein ISMS braucht dediziertes Personal und Budget — nicht nur am Anfang, sondern dauerhaft.
- Tool-Fixierung: ISMS-Tools unterstützen, ersetzen aber kein ISMS. Prozesse und Menschen kommen zuerst.
ISMS und Compliance: Gesetzliche Anforderungen erfüllen
Ein gut aufgebautes ISMS hilft Ihrem Unternehmen, zahlreiche gesetzliche und regulatorische Anforderungen zu erfüllen:
- NIS2-Richtlinie: Die NIS2-Anforderungen verlangen von betroffenen Unternehmen nachweisbare Sicherheitsmaßnahmen — ein ISMS nach ISO 27001 gilt als Best Practice.
- DSGVO (Art. 32): Die Datenschutz-Grundverordnung fordert „geeignete technische und organisatorische Maßnahmen“. Ein ISMS liefert den strukturellen Nachweis.
- KRITIS-Verordnung: Betreiber kritischer Infrastrukturen müssen branchenspezifische Sicherheitsstandards nachweisen — oft basierend auf ISO 27001.
- TISAX: Im Automobilbereich ist der ISMS-Nachweis über TISAX (Trusted Information Security Assessment Exchange) für Zulieferer oft verpflichtend.
- DORA: Der Digital Operational Resilience Act stellt Anforderungen an die IT-Sicherheit im Finanzsektor.
- Branchenstandards: B3S (Gesundheit), BAIT/VAIT (Banken/Versicherungen), IT-SiKat (Energie) — alle setzen ein ISMS voraus.
Kosten und Aufwand: Was ein ISMS erfordert
Die Investition in ein ISMS variiert stark nach Unternehmensgröße, Komplexität und angestrebtem Zertifizierungsniveau. Als Orientierung:
| Unternehmensgröße | Aufbaudauer | Externer Beratungsaufwand | Zertifizierungskosten |
|---|---|---|---|
| Klein (bis 50 MA) | 6–9 Monate | 15–30 Beratertage | 5.000–10.000 € |
| Mittel (50–250 MA) | 9–14 Monate | 30–60 Beratertage | 10.000–25.000 € |
| Groß (250+ MA) | 12–18 Monate | 60–120+ Beratertage | 25.000–60.000+ € |
Dem stehen erhebliche wirtschaftliche Vorteile gegenüber: reduzierte Ausfallzeiten, geringeres Risiko kostspieliger Sicherheitsvorfälle, bessere Konditionen bei Cyber-Versicherungen und Wettbewerbsvorteile bei der Auftragsvergabe.
Häufig gestellte Fragen (FAQ) zur ISMS Definition
Was bedeutet ISMS?
ISMS steht für Information Security Management System, auf Deutsch: Informationssicherheits-Managementsystem. Es bezeichnet ein systematisches Rahmenwerk aus Richtlinien, Prozessen und Maßnahmen, das die Informationssicherheit in einer Organisation ganzheitlich steuert und kontinuierlich verbessert.
Was ist der Unterschied zwischen ISMS und IT-Sicherheit?
IT-Sicherheit konzentriert sich auf den technischen Schutz von IT-Systemen und -Netzwerken. Ein ISMS geht deutlich weiter: Es umfasst neben der Technik auch organisatorische, personelle, physische und rechtliche Aspekte der Informationssicherheit. Ein ISMS ist ein Managementsystem — IT-Sicherheit ist ein Teilbereich davon.
Ist ein ISMS Pflicht?
Für bestimmte Unternehmen und Branchen ja. Die NIS2-Richtlinie, die KRITIS-Verordnung und branchenspezifische Vorschriften (z. B. TISAX, BAIT) verpflichten viele Organisationen zur Implementierung eines ISMS. Auch ohne gesetzliche Pflicht ist ein ISMS für jedes Unternehmen empfehlenswert, das wertvolle Informationen verarbeitet.
Welche Standards gibt es für ein ISMS?
Die wichtigsten Standards sind ISO/IEC 27001 (internationaler Standard) und der BSI IT-Grundschutz (deutscher Standard). Daneben existieren branchenspezifische Rahmenwerke wie TISAX (Automotive), NIST Cybersecurity Framework (USA-orientiert) und COBIT (IT-Governance). ISO 27001 ist der am weitesten verbreitete und international anerkannte Standard.
Wie lange dauert der Aufbau eines ISMS?
Je nach Unternehmensgröße und Reifegrad dauert der ISMS-Aufbau typischerweise 6 bis 18 Monate. Kleine Unternehmen mit klarem Scope können in 6 bis 9 Monaten ein zertifizierungsfähiges ISMS aufbauen. Große Organisationen mit komplexen Strukturen benötigen oft 12 bis 18 Monate. Eine professionelle ISMS-Beratung kann den Prozess deutlich beschleunigen.
Was kostet ein ISMS?
Die Kosten hängen von Unternehmensgröße, Komplexität und dem gewählten Ansatz ab. Kleine Unternehmen sollten mit 15.000 bis 40.000 Euro für Beratung und Zertifizierung rechnen, mittelständische Unternehmen mit 40.000 bis 100.000 Euro. Hinzu kommen interne Personalkosten. Diese Investition amortisiert sich durch vermiedene Schäden, bessere Versicherungskonditionen und gewonnene Aufträge.
Was ist der PDCA-Zyklus im ISMS?
Der PDCA-Zyklus (Plan-Do-Check-Act) ist das Grundprinzip der kontinuierlichen Verbesserung im ISMS. In der Plan-Phase werden Ziele und Maßnahmen geplant, in der Do-Phase umgesetzt, in der Check-Phase überprüft und in der Act-Phase verbessert. Dieser Zyklus wiederholt sich fortlaufend und stellt sicher, dass das ISMS stets aktuell und wirksam bleibt.
Braucht jedes Unternehmen ein ISMS?
Gesetzlich nicht immer, aber praktisch ist ein ISMS für nahezu jedes Unternehmen sinnvoll. Sobald Sie personenbezogene Daten verarbeiten, geistiges Eigentum schützen oder IT-Systeme betreiben, profitieren Sie von einem strukturierten Ansatz zur Informationssicherheit. Die Frage ist nicht ob, sondern in welchem Umfang ein ISMS eingeführt wird.
Kann ein ISMS ohne ISO-27001-Zertifizierung betrieben werden?
Ja, absolut. Viele Unternehmen betreiben ein wirksames ISMS, ohne es formal zertifizieren zu lassen. Die Zertifizierung ist ein zusätzlicher Schritt, der den Nachweis gegenüber Dritten erleichtert. Ein ISMS nach ISO-27001-Prinzipien zu betreiben und die Zertifizierung zu einem späteren Zeitpunkt anzustreben, ist ein häufig gewählter pragmatischer Ansatz.
Wie unterscheidet sich ISO 27001 vom BSI IT-Grundschutz?
ISO 27001 ist ein internationaler Standard, der die Anforderungen an ein ISMS auf abstrakter Ebene definiert. Der BSI IT-Grundschutz ist eine deutsche Methodik, die deutlich detailliertere Umsetzungshinweise liefert. ISO 27001 sagt „Was“ zu tun ist, der IT-Grundschutz erklärt das „Wie“. Beide sind kompatibel — eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz ist möglich und in Deutschland verbreitet.
ISMS professionell einführen — mit DATUREX GmbH
Als TÜV- und BSI-zertifiziertes Beratungsunternehmen unterstützt die DATUREX GmbH Unternehmen sachsenweit bei der Einführung, Optimierung und Zertifizierungsvorbereitung von Informationssicherheits-Managementsystemen. Unsere Leistungen umfassen:
- ISMS-Beratung und Gap-Analyse: Wo stehen Sie? Wo müssen Sie hin?
- ISMS-Aufbau nach ISO 27001 oder BSI IT-Grundschutz: Von der Leitlinie bis zum fertigen Managementsystem.
- Risikobeurteilung und Risikobehandlung: Methodisch fundiert und praxisorientiert.
- Zertifizierungsvorbereitung: Sicher durch das ISO-27001-Audit.
- Externer Informationssicherheitsbeauftragter: Kontinuierliche Betreuung Ihres ISMS.
- Schulung und Awareness: Ihre Mitarbeiter als stärkste Verteidigungslinie.
Lassen Sie uns gemeinsam Ihre Informationssicherheit auf ein solides Fundament stellen.
Rufen Sie uns an unter 0351 79593513 oder nutzen Sie unser Kontaktformular für eine unverbindliche Erstberatung. Wir sind für Unternehmen in ganz Sachsen Ihr kompetenter Partner für Informationssicherheit.
Kostenlose Erstberatung
TÜV+BSI zertifizierte Informationssicherheitsexperten. DATUREX GmbH, Dresden.
Telefon: 0351 / 79593513