Informationssicherheit
In einer Welt der Vernetzung und des Informationsaustausches zwischen uns Personen, Computer, mobile und IOT Devices mit Services, die weltweit verstreut sind, ist der Schutz unsere persönlichen Daten und Identitäten von sehr hohem Wert.
Und geben wir jetzt noch kritische Informationen und Daten von Unternehmen dazu, sind wir in einer Welt, in der die Informationssicherheit von zentralen Bedeutung für uns alle wird.
Regulatorische Anforderungen aus den Normen, Gesetzen, Verordnungen und Leitlinien in einem Unternehmen umzusetzen, stellt mittlerweile die IT-Abteilungen vor sehr großen Herausforderungen. Das Berufsbild von IT-Beschäftigten erfuhr mit dem Schritt zu verteilten Systemen und internationalen Vernetzungen ein Erweiterungen bezüglich sicherheitstechnischer und regulatorischer Anforderungen.
Ein primäres Ziel der Informationssicherheit ist die Sicherstellung der drei wichtigsten Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit bei der Verarbeitung von Daten unter Einbeziehung von technischen und nicht-technischen Systemen. Die Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen und zur Vermeidung von wirtschaftlichen Schäden.
Wo beginnt jetzt die Reise hin zu Informationssicherheit? Es beginnt nicht mit der Technik oder mit Technologien, sondern mit dem Informations-Sicherheits-Management-Systems (ISMS). Hier werden die Anforderungen an die IT-Systeme, Anwendungen und Prozesse im Unternehmen festgelegt.
Eine Voraussetzung dafür ist das Wissen, welche Normen, Gesetzen, Verordnungen und Leitlinien für mein Unternehmen gelten. Eine weitere Voraussetzung ist ein funktionierendes Risikomanagement, denn nur wer seinen Risken kennt, kann darauf angemessen reagieren.
Informations-Sicherheits-Management-Systems (ISMS)
Der Aufbau eines Informations-Sicherheits-Management-Systems (ISMS) ist geprägt durch drei wichtige Maßnahmen - einer organisatorischen, einer inhaltlichen und einer methodischen.
Organisatorisch sollten die Rollen des ISB Informationssicherheitsbeauftragten (CISO Chief Information Security Officer) und des DSB Datenschutzbeauftragten (DPO Data Protection Officer) im Unternehmen klar, eindeutig und schriftlich geregelt werden.
Es gilt inhaltliche Vorgaben zu schaffen, damit keine übertriebene und überflüssige Bürokratie entsteht und die für das Unternehmen geltenden Normen, Gesetze und Verordnungen abgestimmt und festgelegt sind.
Methodisch ist festzulegen, dass Tätigkeiten für den Aufbau und die Rezertifizierung der Dokumente im ISMS prozessorientiert und risikoorientiert gestalten sind.
Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.
Ein Information Security Management System (ISMS) ist kein Selbstläufer, das einmal aufgebaut und eingerichtet wird und dann so bleiben kann. Die Normen, Gesetze und Verordnungen unterliegen einer stetigen Anpassung und diese haben damit eine direkte Auswirkung auf das Information Security Management System (ISMS) des Unternehmens. Neue Technologien verändern die IT-Systeme und bedingen ein Überdenken der Sicherheitsstrategie. Cyberangriffe ändern sich laufend und diesen Bedrohungen entgegenzuwirken, bedarf es Maßnahmen, um den Schutz der Daten und IT-Systeme zu gewährleisten.
Eine Methode für den kontinuierlichen Verbesserungsprozess eines Information Security Management System (ISMS) ist der Demingkreis oder PDCA-Zyklus.
Überwachung und Kontrolle Umsetzungskontrolle
Organisation
In einer klassischen Organisation wird der ISB/CISO zur Wahrung der Unabhängigkeit als Stabstelle bei der Geschäftsleitung gesehen und erhält einen direkten Berichtsweg zum Management.
Es empfiehlt sich die Rolle der ISB/CISO von Fachabteilungen wie z.B. IT-Abteilung zu trennen, da die Leiter von Abteilungen als Führungskraft weisungsbefugt sind und damit die Richtlinien und Kontrollen beeinflussen können
Übernimmt ein ISB/CISO die Führungsverantwortung einer Fachabteilung, kann ein Interessenkonflikt daraus entstehen. Es empfiehlt sich, dem ISB/CISO nur die Führungsverantwortung für seine Stabstelle (IS-Management Team) zu verantworten, um einen Interessenkonflikt zu vermeiden.
Eine Personalunion ISB/CISO mit DSB/DPO ist kritisch zu betrachten und zu hinterfragen, denn auch hier könnten Interessenkonflikte zwischen den beiden Rollen entstehen.
In einigen Unternehmen wird die Rolle ISB/CISO durch Externe besetzt. Die Herausforderung für die externe Variante ist die vertragliche Vereinbarung.
Struktur und Aufbau ISMS
Die Struktur des Information Security Management System (ISMS) ist abhängig welche Norm (z.B. ISO/IEC 27000 Reihe) in Verwendung ist. Am Beispiel der ISO/IEC 27000 Reihe (Standards zur Informationssicherheit) gibt es Betrieblich notwendige Dokumente, Pflichtdokumente und Verfahrensanweisungen.
Die Struktur und der Aufbau eines Information Security Management System (ISMS) ist zwangsläufig nicht in allen Unternehmen gleich, sondern hängt vom Wirtschaftszweig (Branche) und den zugehörigen Normen, Gesetze und Verordnungen ab.
- Keep it simple - einfach halten. Prozesse, Leitlinien, Richtlinien und Konzepte sollten für die davon betroffen Beschäftigten im Unternehmen verständlich und nachvollziehbar sein.
- Synergieeffekte mit anderen Management Systeme wie z.B. DSMS Datenschutz Management System , RMS Risiko Management System und CMS Compliance Management System herstellen. Das Rad (Prozesse, Dokumentenablage, Risikobewertung, ...) muss im Unternehmen nicht mehrfach neu erfunden werden.
