Definition des Begriffs
ISMS steht für Information Security Management System, auf Deutsch Managementsystem für Informationssicherheit. Es bezeichnet ein organisatorisches Verfahren zur systematischen Steuerung von Informationssicherheit in Unternehmen und Instituten. Ziel ist der Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, IT-Systemen und Geschäftsprozessen. Ein ISMS folgt typischerweise dem Risikomanagementansatz der Norm ISO/IEC 27001 oder dem BSI IT-Grundschutz. Im Finanzmarkt ist es zusätzlich mit Anforderungen aus DORA, MaRisk, früheren BAIT-Vorgaben, EBA-Leitlinien und internen Kontrollsystemen verknüpft.
Vorkommen und Verwendung
Ein ISMS wird von Banken, Versicherern, Wertpapierinstituten, Zahlungsdienstleistern, Kapitalverwaltungsgesellschaften und Finanzdienstleistern betrieben, wenn Informationssicherheit wesentlich für den Geschäftsbetrieb ist. Es gilt nicht als einmaliges Projekt, sondern als fortlaufender Regelkreis. Typische Kernbereiche sind:
Der Regelkreis umfasst die Festlegung des Geltungsbereichs, die Inventarisierung von Informationswerten, die Auswahl angemessener Kontrollen und die Dokumentation verbleibender Risiken. Verantwortlich ist regelmäßig die Geschäftsleitung, während Informationssicherheitsbeauftragte, IT, Fachbereiche, Risikocontrolling, Compliance und interne Revision arbeitsteilig mitwirken.
Relevanz
Ein wirksames ISMS unterstützt Institute dabei, Cyberrisiken, operationale Risiken und Auslagerungsrisiken kontrollierbar zu halten. Es bildet eine Grundlage für Prüfungen, Zertifizierungen und aufsichtsrechtliche Nachweise. Ergebnisse können zu Maßnahmenplänen, Priorisierungen im IT-Budget, Schulungsprogrammen oder Anpassungen der Sicherheitsarchitektur führen. Im Finanzsektor stärkt das ISMS die digitale operationale Resilienz, weil es Prävention, Erkennung, Reaktion und Wiederherstellung miteinander verbindet. Es erleichtert zudem Outsourcing-Steuerung und Nachweise gegenüber Aufsicht, Prüfern und Kunden.
Beispiel / Synonyme oder verwandte Begriffe
Verwandte Begriffe sind:
Weitere Informationen
Relevante Bezugspunkte sind DORA Art. 5 bis 16 für digitale operationelle Resilienz, insbesondere Vorgaben zum IKT-Risikomanagement, MaRisk AT 7.2 zu technisch-organisatorischer Ausstattung, BAIT als frühere Konkretisierung bankaufsichtlicher IT-Anforderungen und ISO/IEC 27001 mit Anforderungen an Planung, Betrieb, Bewertung und kontinuierliche Verbesserung eines ISMS.
Weiterführende Details, regulatorische Vorgaben und Methodikbeschreibungen finden Sie auf Regupedia: www.regupedia.de
Bitte geben Sie Ihre E-Mail-Adresse an. Wir senden Ihnen eine E-Mail zum Zurücksetzen Ihres Passwortes.