Integriertes Managementsystem für Informationssicherheit und Datenschutz

Autor
Markus Limacher
Veröffentlicht
26. September 2023
Die Bedeutung von Datenschutz und Informationssicherheit wird von den meisten Organisationen mittlerweile aktiv wahrgenommen. Sie setzen entsprechende Informationssicherheits- und Datenschutz-Managementsysteme (ISMS und DSMS) ein, um diese wichtigen Aspekte zu adressieren. Der aktuelle Trend geht in Richtung integrierte Managementsysteme, die Informationssicherheit (nach ISO/IEC 27001:2022) und Datenschutz (revidiertes Schweizer Datenschutzgesetz) zu einem einheitlichen Gesamtsystem vereinen. Dadurch lassen sich übergeordnete Strategiefindungs- oder Planungsprozesse effizienter gestalten. 

Eine solide Grundlage für integrierte Gesamtsysteme bildet in der Praxis bei InfoGuard der ISO/IEC 27000-Standard, der breit gefasste Inhalte zu Informationssicherheit und Datenschutz bietet. Nahezu alle Managementsysteme folgen heute dem ISO-Standard, der vergleichbare Strukturen und Anforderungen für verschiedene Systeme festlegt. Beispielsweise die Verantwortlichkeit des Managements, die Systematik der Dokumentation, die Zielsetzung der ständigen Verbesserung, die Einhaltung der Vorgaben sowie den Betrieb und die Wartung der Systeme.

Dem ISO-Standard, folgend der Annex SL (in der Ausgabe 2019 auch als Annex L bezeichnet), ist ein Abschnitt der ISO/IEC Directives Part 1, der vorschreibt, wie ISO-Managementsystem-Standards (MSS) verfasst sein müssen. Sie weisen vergleichbare Strukturen auf und stellen in vielen Punkten die gleichen Anforderungen:

  • Verantwortlichkeit des oberen bis mittleren Managements
  • Systematik der Dokumentation
  • Zielsetzung der ständigen Verbesserung
  • Einhaltung der Vorgaben
  • Wartung und Betrieb der Systeme

Die schrittweise Erweiterung eines integrierten Managementsystems um weitere Komponenten wie Umweltmanagement, IT-Service-Management und Business Continuity ist möglich und auch empfehlenswert. Das Ziel besteht darin, dass die verschiedenen Systeme ineinandergreifen und die kontinuierliche Verbesserung der Unternehmensqualität gewährleistet ist.

Die Kombination von zwei oder mehr Modellen ermöglicht nicht nur eine Reduzierung des Auditaufwands, Optimierung des Management-Reporting, sondern eröffnet auch eine breitere Sicht auf das Unternehmen und identifiziert zusätzliche Ansatzpunkte für die Weiterentwicklung.

Vorteile eines integrierten Managementsystems

Ein integriertes Managementsystem (IMS) bietet eine zentrale Lösung, die alle Systeme innerhalb eines Unternehmens zusammenführt und gleichzeitig alle Anforderungen der internationalen Organisation für Standardisierung (ISO) erfüllt. Dies verhindert redundante Varianten, die zu höheren Kosten und zusätzlicher Arbeit führen können. Mit einem integrierten Ansatz werden alle ISO-Normen effizient behandelt und erfüllt.

Integriertes Managementsystem InfoGuard: Informationssicherheit (ISMS) und Datenschutz (DSDS) vereint

Effizienz durch Systemintegration

Durch die Integration verschiedener Managementsysteme ergeben sich zahlreiche Vorteile, darunter vereinfachtes Handling, verbesserte Übersichtlichkeit und Transparenz, gemeinsame Audits für mehrere Systeme, effiziente Management-Reviews und eine einheitliche Dokumentation für alle Management- und Businessprozesse. Dadurch können Kosten und Zeit eingespart werden.

High Level Structure: Vereinfachung durch Einheitlichkeit

Die High Level Structure (HLS) stellt eine einheitliche Grundstruktur für neue oder überarbeitete Managementsysteme bereit. Sie sorgt für ein besseres Verständnis und eine hohe Kompatibilität zwischen verschiedenen Managementsystemen und begünstigt den Zusammenschluss zu einem integrierten Managementsystem.
In Übereinstimmung mit Anhang SL sollte eine Managementsystem-Norm wie folgt aufgebaut sein:

  1. Anwendungsbereich
  2. Normative Verweisungen
  3. Begriffe
  4. Kontext der Organisation
  5. Führung
  6. Planung
  7. Unterstützung
  8. Betrieb
  9. Bewertung der Leistung
  10. Verbesserung

Wettbewerbsvorteile durch ein integriertes Managementsystem

Die Umsetzung des Datenschutzes in einem integrierten Managementsystem (verstärkt durch eine ISO/IEC 27001-Zertifizierung) kann als Qualitätsmerkmal beworben werden. Unternehmen können so eine kontinuierliche Überprüfung und Verbesserung gewährleisten und sich positiv bei Kunden oder in öffentlichen Ausschreibungen hervorheben.

Informationssicherheit und Datenschutz

Sowohl Informationssicherheit als auch Datenschutz sind keine einmaligen Projekte, sondern erfordern kontinuierliche Überprüfung und Verbesserung. Informationssicherheit betrifft den Schutz aller Unternehmenswerte vor Missbrauch durch Dritte, während Datenschutz darauf abzielt, personenbezogene Daten zu schützen. Ein Datenschutz-Managementsystem (DSMS) wird als wirksame Werkzeug für den Datenschutz von Organisationen angesehen.

Abschliessend lässt sich festhalten, dass integrierte Managementsysteme eine effektive Möglichkeit bieten, Informationssicherheit und Datenschutz in einem einheitlichen Gesamtsystem zu vereinen. Dies ermöglicht eine effizientere und transparentere Verwaltung und kann Unternehmen einen Wettbewerbsvorteil verschaffen. Die permanente Verfügbarkeit von Datenschutzprozessen ist in einer Zeit steigender Datenpannen und -skandale von grosser Bedeutung, und ein DSMS kann hier eine massgebliche Rolle spielen.

Noch kein adäquates ISMS und DSMS? InfoGuard unterstützt Sie!

Sind Sie auf dem Weg, Ihre Cyber-Sicherheit und Ihre Datenschutzbestrebungen zu professionalisieren? Sollten Sie noch nicht ready sein: keine Sorge. Unsere Consulting-Spezialist*innen stehen Ihnen fachkundig zur Seite und unterstützen Sie, beispielsweise beim Aufbau des integrierten Managementsystems (DSMS und ISMS), bei der Umsetzung von NIST CSF, Security Assessments, Architektur usw. Kontaktieren Sie uns für ein unverbindliches Gespräch und eine Offerte.

Anfrage Integriertes Managementsystem ISMS & DSMS

 

Artikel teilen