Ein Information Security Management System definiert Regeln und Methoden, mit denen die Informationssicherheit in einem Unternehmen oder in einer Organisation gewährleistet wird. Es legt fest, welche Werte und Informationen geschützt werden sollen, wie Risiken identifiziert und eingeordnet werden und wie auf dieser Grundlage geeignete Maßnahmen ausgewählt und umgesetzt werden. Als maßgebliche Normen werden ISO/IEC 27001 für die Zertifizierungsanforderungen und ISO/IEC 27003 für Entwicklung und Implementierung des ISMS genannt. Diese Normen werden international anerkannt und gehören zu den referenzierten Normen im Umfeld von IEC 62443-2-1.
Die Zielsetzung eines ISMS umfasst den Schutz von Unternehmens- und Kundendaten, den Schutz vor Cyberangriffen, bösartiger Software und Unfällen, die Ermöglichung eines angemessenen Informations-Securitymanagements sowie die Fähigkeit, die Security in einer Organisation gezielt zu verbessern. Ein ISMS arbeitet dabei nicht nur mit Einzelmaßnahmen, sondern mit einer strukturierten Dokumentationsbasis. Genannt werden Leitlinien, Verfahren und Prozesse, die die Informationsaspekte eines Unternehmens unterstützen.
Die Grundlogik des ISMS folgt drei Schritten. Zuerst wird festgelegt, was das System leisten soll und welche Werte und Informationen geschützt werden müssen. Danach werden die Risiken identifiziert und eingeordnet; dabei können gesetzliche Bestimmungen als Kriterien dienen. Im dritten Schritt werden auf Basis der Risikobewertung geeignete Maßnahmen ausgewählt und umgesetzt, um Risiken zu vermeiden oder zu verringern.
Für die Verantwortung innerhalb der Organisation gilt, dass die Leitung der Organisation die Gesamtverantwortung für die Erfüllung der Anforderungen trägt. Zusätzlich muss ein Chief Information Security Officer oder Informationssicherheitsbeauftragter benannt und in strategische Entscheidungen einbezogen werden. Dieser Rolle kann die Verantwortung übertragen werden, dafür zu sorgen, dass alle Anforderungen gemäß dem definierten Security-Konzept erfüllt und überprüft werden. Darüber hinaus können weitere Rollen zusätzliche Verantwortlichkeiten bei der Umsetzung übernehmen.
Ein Information Security Team bildet die operative Struktur für die Umsetzung. Für Betreiber kritischer Infrastrukturen wird eine kompetente Security-Abteilung in Form eines solchen Teams vorausgesetzt. Dieses Team ist zuständig für die Regelung und Kontrolle des allgemeinen Betriebs in Bezug auf Security, für Planung, Organisation und Durchführung der Verwaltungsdienstleistungen einer zuständigen Abteilung sowie für die Reflexion des Zusammenspiels der verschiedenen Rollen und Einheiten mit den zugehörigen Geschäftsprozessen und Ressourcen. Außerdem werden Aspekte der Informationssicherheit über dieses Team eingeführt und verbindlich gemacht. Die Zielsetzung ist klar: Ein ISMS wird vom Information Security Team eingerichtet und getragen.
Die Organisationsstruktur wird dabei gegenüber einer einfacheren Ausgangsstruktur erweitert. Neben Management und CISO tritt ein Information Security Team als zusätzliche Instanz zwischen Management, Büro- beziehungsweise IT-Bereich und Produktion beziehungsweise OT-Bereich. Dadurch wird Informationssicherheit organisatorisch nicht nur als Führungsaufgabe, sondern als strukturierte Funktionskette zwischen strategischer und operativer Ebene verankert.
Im industriellen Umfeld steht das ISMS nicht isoliert, sondern im Verhältnis zu einem IACS Security Program nach IEC 62443-2-1. Dieses Security Program konzentriert sich auf Vertraulichkeit, Integrität und Verfügbarkeit im OT-Bereich. Es ist ein Managementsystem mit Prozessen und Maßnahmen zur Gewährleistung der Systemsicherheit in der Produktion und sollte für den eigenen Maschinenpark sowie für alle Betriebsphasen einer Maschine oder Anlage eingerichtet werden. Ein solcher Ansatz ist besonders dann sinnvoll, wenn bereits ein ISMS vorhanden ist oder eine Zertifizierung nach ISO 27001 angestrebt wird, weil eine hohe Kompatibilität mit internationalen Normen besteht.
Zwischen ISMS und IACS Security Program besteht ein klar definiertes Verhältnis. Das IACS Security Program sollte das ISMS der Betreiberorganisation ergänzen, und dafür sollte ein Information Security Team eingerichtet werden. Gleichzeitig gilt, dass ein ISMS im Allgemeinen nicht auf die Safety- und Betriebsanforderungen eines IACS eingeht. Damit ist das ISMS der allgemeine organisatorische Rahmen für Informationssicherheit, während das IACS Security Program die spezifischen OT- und Produktionsanforderungen ergänzt.