IT-Security (Policy)
IT-Security: Ausgangssituation
In fast jedem Unternehmen sind die Geschäftsprozesse mit der IT eng verzahnt. Geschäftlicher Erfolg hängt unmittelbar von einer zuverlässigen IT-Infrastruktur, deren Service und Sicherheit ab. IT-Security sollte somit für jedes Unternehmen ein Bestandteil der Unternehmensstrategie sein.
IT-Security: Informationssicherheit
Die Informationssicherheit wird geprägt durch das Zusammenwirken der Faktoren
- Organisation (Mensch und Geschäftsprozess) und
- Technik (Mensch und Informationstechnologie).
Das Zusammenwirken dieser Faktoren ist im Hinblick auf die Sicherheitsziele „Vertraulichkeit, Verbindlichkeit, Verfügbarkeit und Integrität“ zu gestalten
IT-Security: Einflußfaktoren
Die Informationssicherheit muß folgenden Einflußfaktoren gerecht werden:
- bestehende Gesetze zum Schutz von personenbezogenen Daten (z.B. BDSG),
- bestehende Gesetze aus dem Bereich Finanzen und Wirtschaft (z.B. KonTraG, HGB, ...),
- Konzern- bzw. Unternehmensanforderungen sowie
- eingesetzte Technik und der davon abhängigen Gesetze (SigGes., Telekomm.Ges.) und Gefährdungen (wie Nachlässigkeit, Fahrlässigkeit, unbefugten Zugang zu den Systemen und technischen Ausfällen, höhere Gewalt, Sabotage, Hacking und Spionage)
IT-Security: Sicherheitskreislauf/ -prozess
Die Sicherheitsziele und das -niveau wird durch einen Sicherheitskreislauf / -prozess in Abhängigkeit der Einflußfaktoren gestaltet. Der Sicherheitsprozess hat die Aufgabe
- die Einflußfaktoren und Ordnungsmäßigkeit der Informationssicherheit zu bewerten (Risikoanalyse),
- entsprechende Standards, Richtlinien und Maßnahmen zu erarbeiten (Sicherheitspolitik),
- die Sicherheitspolitik umzusetzen (Implementierung) und zu betreiben (Betrieb),
- die Einhaltung der Politik im betrieblichen Umfeld mit den notwendigen Kontrollverfahren regelmäßig zu überprüfen (Audit).
IT-Security: Sicherheitsorganisation
Für die nachhaltige Umsetzung des Sicherheitsprozesses wird eine angemessene Sicherheitsorganisation mit entsprechender Richtlinienkompetenz mit folgenden Rollen benötigt:
- Gschäftsprozessowner (z.B. CIO)
- Datenschutzbeauftragter
- Sicherheitsbeauftgragter und
- Revision
Resumee
Die Aspekte der Informationssicherheit müssen in allen Unternehmensteilen gleichermaßen berücksichtigt und umgesetzt werden, um das eigentliche Ziel einer verbesserten Gesamtsicherheit in einem Unternehmen zu erreichen.
COPASCO ist zu diesem Thema Ihr richtiger Partner.