Informationssicherheitsmanagement nach ISO/IEC 27001
Aus Gesichtspunkten einer fundierten IT-Risikominimierung, aber auch aufgrund gesetzlicher Vorgaben ist die Etablierung eines Informationssicherheitsmanagements im Unternehmen unerlässlich. Ausgehend von der Theorie der Normen stellt sich jedoch die zentrale Frage, wie dies in einer praxistauglichen und dauerhaften Form erfolgen kann. Auf Basis fundierter und langjähriger Praxiserfahrung unterstützt Sie SCHUTZWERK dabei, ein auf Ihre Anforderungen zugeschnittenes Informationssicherheitsmanagement-System zu realisieren.
Die Gewährleistung eines angemessenen Sicherheitsniveaus ist innerhalb komplexer IT-Umgebungen eine stetige Herausforderung. Entstehen technische Sicherheitsschwachstellen in Systemen und Anwendungen, so sind diese aber nur als Symptome zu betrachten. Deren grundlegende Ursache liegt in mangelhaftem Informationssicherheitsmanagement.
Nachhaltiges Informationssicherheitsmanagement bedingt einen grundlegenden Prozess, der in der ISO-Norm IEC 27001 als Informationssicherheitsmanagement-System bezeichnet wird. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) referenziert mit seinen IT-Grundschutz-Standards auf diese Norm. Reduziert man die weitreichenden Vorgaben der genannten Standards, verbleiben fünf elementare Phasen, welche dem Informationssicherheitsmanagement zugrunde liegen (siehe Prozessgrafik).
-
IT-Sicherheitsmanagement in der Praxis
-
1
Sicherheitsorganisation
Phase 1 - Sicherheitsorganisation
- Formulierung einer IT-Sicherheitsleitlinie zur Beschreibung des Stellenwerts der IT und der IT-Sicherheit im Unternehmen
- Verbindliche Definition der Verantwortlichkeiten innerhalb des IT-Sicherheitsmanagement-Prozesses
-
2
Strukturanalyse
Phase 2 - Strukturanalyse
- Zentrale Erfassung aller IT-Systeme, -Anwendungen und verarbeiteten Datenkategorien
-
3
Schutzbedarfsfeststellung
Phase 3 - Schutz-bedarfsfeststellung
- Schutzbedarfsfeststellung für die IT-Systeme, -Anwendungen und Daten, ausgehend von den Sicherheitsanforderungen der Geschäftsprozesse = Soll-Zustand (Vertraulichkeit, Integrität, Verfügbarkeit)
-
4
Soll- / Ist-Vergleich
Phase 4 - Soll- / Ist-Vergleich
- Prüfung des realisierten Sicherheitsniveaus, unter Einbeziehung aller technischen, organisatorischen und personellen Teilaspekte = Ist-Zustand / Abgleich mit dem Soll-Zustand und Ableitung notwendiger Maßnahmen
-
5
Maßnahmenumsetzung
Phase 5 - Maßnahmenumsetzung
- Detaillierte Planung (Roadmap) und Umsetzung der in Phase 4 definierten Maßnahmen