Information Security Management - Vom Prozess zur Umsetzung
暂无分享,去创建一个
Informationen sind wichtige Geschaftsguter. In fast allen Unternehmensbereichen werden sie zur Abwicklung oder zur Unterstutzung von Geschaftsprozessen zwingend benotigt. Ohne effiziente Informationsverarbeitung – innerhalb und auserhalb der IT – sind heute viele Aufgaben nicht mehr oder nur noch mit starken Einschrankungen zu bewaltigen. Lange reichte es aus, besonders sensitive Informationen einzeln speziell zu schutzen, etwa durch einen dedizierten Server mit Verschlusselungstechnologien oder durch spezielle Zugangskontrollen fur bestimmte Raume. Doch durch die starke Integration der Informationsverarbeitung ist eine solche isolierte Betrachtung nicht mehr moglich. Werden Informationen von einer Vielzahl von Prozessen genutzt und verarbeitet, spielt die Sicherung von Integritat, Vertraulichkeit und Verfugbarkeit uber ihren gesamten Lebenszyklus eine wichtige Rolle fur das Unternehmen. Die Informationssicherheit muss deshalb eben so ganzheitlich betrachtet werden wie die Informationsverarbeitung: als ein fortlaufender Information-Security-Management-Prozess fur das ganze Unternehmen. Information Security Management (ISM) bezeichnet dabei die Planungsund Lenkungsaufgabe eines durchdachten und gesteuerten Sicherheitsprozesses. Dieser ist Voraussetzung fur die sinnvolle Umsetzung und Erfolgskontrolle von Sicherheitsmasnahmen. Der ISM-Prozess ist sehr komplex. In vielen Grosunternehmen ist bereits ein ISM-Prozess implementiert und mit vielen Ressourcen ausgestattet. Aber auch fur kleine und mittlere Unternehmen ist ein solcher Prozess sinnvoll und hilfreich – gerade dann, wenn Informationen einen wichtigen Teil des Geschaftserfolgs ausmachen – z. B. weil das Unternehmen hochkomplexe Produktionsvorgange beherrschen muss oder das Marketing stark von einem effizienten Management der Kundendaten abhangt. Im folgenden Beitrag werden ein etwas vereinfachter Ansatz des ISM-Prozesses vorgestellt und Hinweise gegeben, wie dieser organisatorisch und aus Prozesssicht in ein Unternehmen zu integrieren ist. Dabei wird besonderer Wert auf Tipps fur die Praxis gelegt, die eine Umsetzung nach den Bedurfnissen und den Ressourcen des Unternehmens ermoglicht. Ist Information Security Management gleichzusetzen mit IT-Security-Management? In vielen Fallen wird das ISM einen sehr grosen IT-Anteil beinhalten, da die Informationen in IT-Systemen besonders bedroht sind und da die Masnahmen fur IT spezifischer und vielfaltiger sind als fur in anderer Form vorliegende Informationen. Je mehr Informationen auch in anderer Form vorliegen (z. B. Messergebnisse, Probeteile), umso mehr muss auch dieser Aspekt in das ISM aufgenommen werden. Und schlieslich spielt auch der personliche Umgang der Mitarbeiter mit den Informationen eine Rolle, z. B. auf Messen oder im Freundeskreis, ebenfalls ein wichtiger Bereich auserhalb der IT-Systeme. Insofern besteht eine enge Verbindung zwischen Informationssicherheit und IT-Sicherheit einerseits, aber auch zwischen Informationssicherheit und z. B. dem Werkschutz andererseits. Damit das Information-Security-Management seiner Bedeutung gerecht werden kann, sollte es uber das Risikomanagement im Unternehmen verankert werden. Im Rahmen des Risikomanagements werden u. a. operationelle Risiken gemanagt, zu denen ebenfalls der Bereich Informationssicherheit gehort.