ISMS

Warum ein ISMS unverzichtbar ist

Ohne ISMS ist Compliance kein Systemzustand, sondern ein Zufallsergebnis. NIS-2 und ISO 27001 verlangen keinen perfekten Sicherheitsstatus, sondern einen nachweisbar systematischen Umgang mit Risiken. Das ISMS ist der Nachweis dieser Systematik.

Wo ein ISMS gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	Kap. 4–10	ISO 27001 definiert den Aufbau eines ISMS vollständig – von der Kontextanalyse bis zur kontinuierlichen Verbesserung.
NIS-2 / BSIG	§ 30	ISMS als Pflichtrahmen für alle wesentlichen und wichtigen Einrichtungen in der EU.
DORA	Art. 6–16	IKT-Risikomanagement-Rahmen entspricht funktional einem ISMS für den Finanzsektor.
BSI IT-Grundschutz	ORP.1	IT-Grundschutz ist der deutsche Standard für den Aufbau eines ISMS, anerkannt als ISO-27001-Äquivalent.

BAM-Objektreferenz

Häufige Audit-Fehler

• ISMS-Dokumente vorhanden, aber nicht gelebt
• Scope nicht formal definiert und genehmigt
• Keine nachweisbaren Management-Reviews
• Interne Audits nicht dokumentiert

ISMS-Kernbestandteile nach ISO 27001

Ein ISO-27001-konformes ISMS umfasst: Kontextanalyse (Kapitel 4), Führung und Verpflichtung (Kapitel 5), Planung inklusive Risikobeurteilung (Kapitel 6), Unterstützung durch Ressourcen und Dokumentation (Kapitel 7), operative Umsetzung (Kapitel 8), Leistungsbewertung durch interne Audits und Management-Review (Kapitel 9) sowie kontinuierliche Verbesserung (Kapitel 10). Jede dieser Anforderungen muss mit Evidence belegt werden können.

ISMS-Scope: Was gehört dazu?

Der Scope legt fest, welche Teile der Organisation, welche Standorte und welche Systeme das ISMS abdeckt. Ein zu enger Scope ist ein Risiko: Systeme außerhalb des Scope sind nicht durch das ISMS geschützt. Ein zu breiter Scope erhöht den Aufwand ohne proportionalen Nutzen. Die Scope-Entscheidung ist strategisch und muss von der Geschäftsführung formal bestätigt werden.

Verwandte Begriffe