11515 Aufbau und Einführung eines Informationssicherheitsprozesses im Unternehmen
|
Der Beitrag beschreibt einen Weg, die Informationssicherheit im Unternehmen systematisch zu analysieren und nachhaltig zu verbessern. Die Informationssicherheit wird dabei als kontinuierlicher Prozess verstanden, der als Teil eines bestehenden Managementsystems implementiert werden kann. Die beschriebenen Prozessschritte harmonieren sowohl mit der Qualitätsmanagementnorm DIN EN ISO 9001 als auch mit der DIN ISO/IEC 27001:2008 für Informationssicherheits-Managementsysteme. Sie haben insofern Mustercharakter, als dass sich spezifische Ausprägungen an ihnen orientieren können. Ihre Dokumentation führt im Verlauf der Umsetzung schrittweise zu einem Informations sicher heitshandbuch. Voraussetzung für die erfolgreiche Einführung des Prozesses ist, dass die Initiative dafür vom Manage ment des Unternehmens ausgeht, die Informationssicherheit von diesem getragen und vorgelebt wird. Arbeitshilfen: von: |
1 Der Informationssicherheitsprozess (ISP)
Warum Prozess?
Will ein Unternehmen seine Wettbewerbsfähigkeit erhalten oder ausbauen, muss es seine Infrastruktur entsprechend den Möglichkeiten der rasant fortschreitenden Informationstechnologie kontinuierlich modernisieren. Die Informationssicherheit als zunehmend wichtiger Erfolgsfaktor muss dabei Schritt halten. Sie darf nicht wie vielerorts angenommen als einmalige Anstrengung aufgefasst werden, sondern muss als kontinuierlicher Prozess im Unternehmen implementiert werden. Ein solcher Prozess bildet die Grundlage für die systematische und regelmäßige Analyse von Bedrohungen und Risiken und fördert die Planung, Umsetzung und Überprüfung angemessener Sicherheitsmaßnahmen. Richtig eingeführt und vorangetrieben beeinflusst er die Unternehmenskultur derart, dass die Mitarbeiter eines Unternehmens
Will ein Unternehmen seine Wettbewerbsfähigkeit erhalten oder ausbauen, muss es seine Infrastruktur entsprechend den Möglichkeiten der rasant fortschreitenden Informationstechnologie kontinuierlich modernisieren. Die Informationssicherheit als zunehmend wichtiger Erfolgsfaktor muss dabei Schritt halten. Sie darf nicht wie vielerorts angenommen als einmalige Anstrengung aufgefasst werden, sondern muss als kontinuierlicher Prozess im Unternehmen implementiert werden. Ein solcher Prozess bildet die Grundlage für die systematische und regelmäßige Analyse von Bedrohungen und Risiken und fördert die Planung, Umsetzung und Überprüfung angemessener Sicherheitsmaßnahmen. Richtig eingeführt und vorangetrieben beeinflusst er die Unternehmenskultur derart, dass die Mitarbeiter eines Unternehmens
| • | die Sensitivität von Informationen bewusster wahrnehmen, |
| • | die informationstechnischen Einrichtungen sicher(er) und verantwortungs voll(er) nutzen sowie |
| • | Verständnis entwickeln für proaktive Maßnahmen in Bezug auf Risiken für Mitarbeiter, Vermögenswerte und die Fortführung der Geschäftstätigkeit. |
Teil des Managementsystems
Das vorliegende Kapitel verwendet den Begriff Prozess und nicht Managementsystem, um deutlich zu machen, dass der Informationssicherheitsprozess als Teil eines bestehenden Managementsystems aufgefasst wird. Bei einem Managementsystem wird davon ausgegangen, dass es Politik, organisatorische Struktur, Verantwortlichkeiten, Planungsaktivitäten, Praktiken, Prozeduren, Prozesse und Ressourcen miteinander verknüpft.
Das vorliegende Kapitel verwendet den Begriff Prozess und nicht Managementsystem, um deutlich zu machen, dass der Informationssicherheitsprozess als Teil eines bestehenden Managementsystems aufgefasst wird. Bei einem Managementsystem wird davon ausgegangen, dass es Politik, organisatorische Struktur, Verantwortlichkeiten, Planungsaktivitäten, Praktiken, Prozeduren, Prozesse und Ressourcen miteinander verknüpft.
Für den Aufbau und die Einführung eines Informationssicherheitsprozesses kann auf bewährte Vorgehensweisen zurückgegriffen werden. Überträgt man die recht weit verbreiteten Erfahrungen im Bereich der Qualitätsmanagementsysteme auf einen Informationssicherheitsprozess, lassen sich für dessen Aufbau und Betrieb folgende wesentliche Schritte ableiten (s. a. Abb. 1):
