Feedback

Information Security Management System (ISMS)

zur Glossar-Übersicht

 

Definition des Begriffs

ISMS steht für Information Security Management System, auf Deutsch Managementsystem für Informationssicherheit. Es bezeichnet ein organisatorisches Verfahren zur systematischen Steuerung von Informationssicherheit in Unternehmen und Instituten. Ziel ist der Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, IT-Systemen und Geschäftsprozessen. Ein ISMS folgt typischerweise dem Risikomanagementansatz der Norm ISO/IEC 27001 oder dem BSI IT-Grundschutz. Im Finanzmarkt ist es zusätzlich mit Anforderungen aus DORA, MaRisk, früheren BAIT-Vorgaben, EBA-Leitlinien und internen Kontrollsystemen verknüpft.

 

Vorkommen und Verwendung

Ein ISMS wird von Banken, Versicherern, Wertpapierinstituten, Zahlungsdienstleistern, Kapitalverwaltungsgesellschaften und Finanzdienstleistern betrieben, wenn Informationssicherheit wesentlich für den Geschäftsbetrieb ist. Es gilt nicht als einmaliges Projekt, sondern als fortlaufender Regelkreis. Typische Kernbereiche sind:

  1. Sicherheitsleitlinie und Governance, einschließlich Rollen, Verantwortlichkeiten und Berichtslinien
  2. Risikoanalyse, Bewertung von Bedrohungen, Schwachstellen und Schutzbedarf
  3. Sicherheitsmaßnahmen, etwa Zugriffskontrollen, Verschlüsselung, Protokollierung und Netzwerkschutz
  4. Überwachung, interne Kontrollen, Kennzahlen, Audits und Managementbewertung
  5. Behandlung von Sicherheitsvorfällen, Notfallmanagement und Verbesserung

Der Regelkreis umfasst die Festlegung des Geltungsbereichs, die Inventarisierung von Informationswerten, die Auswahl angemessener Kontrollen und die Dokumentation verbleibender Risiken. Verantwortlich ist regelmäßig die Geschäftsleitung, während Informationssicherheitsbeauftragte, IT, Fachbereiche, Risikocontrolling, Compliance und interne Revision arbeitsteilig mitwirken.

 

Relevanz

Ein wirksames ISMS unterstützt Institute dabei, Cyberrisiken, operationale Risiken und Auslagerungsrisiken kontrollierbar zu halten. Es bildet eine Grundlage für Prüfungen, Zertifizierungen und aufsichtsrechtliche Nachweise. Ergebnisse können zu Maßnahmenplänen, Priorisierungen im IT-Budget, Schulungsprogrammen oder Anpassungen der Sicherheitsarchitektur führen. Im Finanzsektor stärkt das ISMS die digitale operationale Resilienz, weil es Prävention, Erkennung, Reaktion und Wiederherstellung miteinander verbindet. Es erleichtert zudem Outsourcing-Steuerung und Nachweise gegenüber Aufsicht, Prüfern und Kunden.

 

Beispiel / Synonyme oder verwandte Begriffe

Verwandte Begriffe sind:

  • ISO/IEC 27001, internationale Norm für zertifizierbare ISMS-Anforderungen
  • BSI IT-Grundschutz, deutsches Rahmenwerk für methodische Sicherheitskonzepte
  • IKS, internes Kontrollsystem zur Überwachung wesentlicher Prozesse
  • BCM, Business Continuity Management zur Aufrechterhaltung kritischer Funktionen
  • SOC, Security Operations Center für laufende Sicherheitsüberwachung

 

Weitere Informationen

Relevante Bezugspunkte sind DORA Art. 5 bis 16 für digitale operationelle Resilienz, insbesondere Vorgaben zum IKT-Risikomanagement, MaRisk AT 7.2 zu technisch-organisatorischer Ausstattung, BAIT als frühere Konkretisierung bankaufsichtlicher IT-Anforderungen und ISO/IEC 27001 mit Anforderungen an Planung, Betrieb, Bewertung und kontinuierliche Verbesserung eines ISMS.

 

 

Weiterführende Details, regulatorische Vorgaben und Methodikbeschreibungen finden Sie auf Regupedia: www.regupedia.de

Passwort zurücksetzen

Bitte geben Sie Ihre E-Mail-Adresse an. Wir senden Ihnen eine E-Mail zum Zurücksetzen Ihres Passwortes.


Abbrechen