Die Basis der IT-Sicherheit – das Informations-Sicherheits-Management-System

Wie lässt sich Informationssicherheit systematisch umsetzen? Die Antwort liegt in einem Informations-Sicherheits-Management-System (ISMS), das an die jeweilige Organisation angepasst ist. Das ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert).

Zu der initialen Maßnahme in diesem Zusammenhang gehört die Übernahme der Gesamtverantwortung für die Informationssicherheit durch die Leitungsebene. Dabei müssen sowohl angemessene Sicherheitsziele als auch eine Strategie für die Informationssicherheit festgelegt werden. Die Kernaussagen werden in einer Leitlinie zur Informationssicherheit dokumentiert. Dabei sollte die Sicherheitsleitlinie mindestens Aussagen zu den folgenden Themen enthalten: Sicherheitsziele der Organisation,

  • Beziehung der Sicherheitsziele zu den Geschäftszielen oder Aufgaben,
  • angestrebtes Sicherheitsniveau,
  • Leitaussagen darüber, wie das angestrebte Sicherheitsniveau erreicht werden soll, und
  • Leitaussagen darüber, ob und wodurch das Sicherheitsniveau nachgewiesen werden soll.

Die Leitlinie wird vom Management verabschiedet und innerhalb der Organisation bekanntgegeben.

Analog zum Datenschutzbeauftragten muss ein IT-Sicherheitsbeauftragter bestellt werden, der die Informationssicherheit fördert und den Sicherheitsprozess steuert und koordiniert. Hierzu ist die Schaffung einer geeigneten Organisations- und Kommunikationsstruktur notwendig, in der Aufgaben, Verantwortungen und Kompetenzen nachvollziehbar definiert und zugewiesen werden.
Um die Informationssicherheitsziele zu erfüllen und das angestrebte Sicherheitsniveau zu erreichen, muss innerhalb der Sicherheitsorganisation analysiert werden, wie die Erfüllung von Aufgaben und Geschäftsprozessen von der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen abhängt. Dabei ist auch zu untersuchen, durch welche Schadensursachen wie höhere Gewalt, organisa-torische Mängel, menschliche Fehlhandlungen oder auch IT-Risiken Geschäftsprozesse bedroht werden. Erst dann kann unter Kosten-Nutzen-Aspekten entschieden werden, wie mit diesen Risiken umgegangen wird und welche konkreten Sicherheitsmaßnahmen daraus abgeleitet werden.

Neben technischen Sicherheitsmaßnahmen (u. a. Viren-schutz, Schaffung einer redundanten Infrastruktur) müssen auch für organisatorische Abläufe und Prozesse (Rechtevergabe, Sicherheitsschulungen, Test- und Freigabeverfahren) Konzepte erstellt und umgesetzt werden. Als Basis können dabei die konkreten Informationssicherheitsmaßnahmen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) dienen, die in den folgenden Maßnahmenkatalogen dargestellt sind: Infrastruktur, Organisation, Personal, Hard- und Software, Kommunikation, Notfallvorsorge. Diese Maßnahmenkataloge werden über die Internetseite des BSI (www.bsi.bund.de) bereitgestellt.

Zur Aufrechterhaltung des Sicherheitsniveaus müssen einerseits die als angemessen identifizierten Sicherheits-maßnahmen korrekt angewendet werden, andererseits ist das Sicherheitskonzept fortlaufend zu aktualisieren. Die Darstellung der wesentlichen Eigenschaften eines ISMS zeigt, dass Informationssicherheit das Ergebnis eines Lebenszyklus aus Organisationsstruktur und Prozessen ist. Die Umsetzung einzelner Maßnahmen kann daher nur im Kontext eines ganzheitlichen Ansatzes effizient und wirksam sein.

Praxis-Hinweis
Wir unterstützen Sie bei der Umsetzung eines Informations-Sicherheits-Management-Systems (ISMS). Von der initialen Erstellung einer IT-Leitlinie bis zur Überprüfung des Informationssicherheitsprozesses begleiten wir Sie über den gesamten ISMS-Lebenszyklus. Sprechen Sie uns an!

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Köln
Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM)
Ingo Kreutz
+49 (0)2203 8997-217
 
Leitung IT-Revision
Solidaris Revisions-GmbH
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft
Kreutz
Schwerpunkte
  • Informationssicherheitsmanagement (ISMS)
  • IT-Systemprüfungen und Prozessanalysen
  • Begleitung von Softwaremigrationen
Veröffentlichungen in der Fachpresse
2019
  • Wie sichern Sie Ihre Kronjuwelen? Der Umgang mit Informationswerten im digitalen Zeitalter: PflegeManagemet, 10/11/2019, S.11.
Veröffentlichungen in der Fachpresse
2016
  • Steuerung von IT-Risiken: Health&Care Management, 11/2016, S. 66-67.