Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München


ChecklisteDas Thema Informationssicherheit sollte nicht unterschätzt werden, denn der Schutz von Daten und deren Verfügbarkeit sind essentiell für den Erfolg von Unternehmen. Ein Großteil der nötigen Maßnahmen und Zuständigkeiten entfällt dabei auf das Management und muss dementsprechend geplant und gesteuert werden. 

Die Experten von TÜV SÜD geben Tipps für die Umsetzung eines Informationssicherheits-Managementsystems und informieren über die kritischen Erfolgsfaktoren.

Die Umsetzung

  • Geltungsbereich: Im ersten Schritt müssen der Geltungsbereich und die Grenzen des Informationssicherheits-Managementsystems definiert werden.
  • Informationssicherheitspolitik: Anschließend braucht es eine vom Management bestätigte Informationssicherheitspolitik im Unternehmen, die die sicherheitsbezogenen Ziele, Strategien, Verantwortlichkeiten und Maßnahmen langfristig und verbindlich festlegt. Jedes Unternehmen sollte dabei für sich selbst definieren, welchen Grad an Sicherheit es benötigt.
  • Informationswerte: Im dritten Schritt sind die wesentlichen Informationswerte zu definieren und zu kategorisieren. Darunter können technische Systeme, Informationen, Dokumente aber auch Personen fallen. Entsprechend der Kategorisierung als vertraulich, streng vertraulich etc. ergeben sich dann die zu treffenden Maßnahmen.
  • Risiken: Je nach Rahmenbedingungen und Standort des Unternehmens gibt es unterschiedliche Risiken, die identifiziert werden müssen. Darunter können fallen: Überflutungen, Erdbeben, Brand, Cyberattacken oder der Ausfall von Kühlgeräten. Je nach Schwere der identifizierten Risiken ist abzuwägen, ob dieses Risiko tragbar ist oder ob entsprechende Maßnahmen notwendig sind.
  • Sicherheitsmaßnahmen: Schlussendlich sollten die entsprechenden Sicherheitsmaßnahmen eingeleitet werden. Eine Orientierungshilfe mit passenden Maßnahmen bietet Anhang A der ISO 27001. Dazu zählen beispielsweise die Zugangskontrolle, der Schutz vor Malware, ein Backup für die Informationen oder die Zuteilung von Verantwortlichkeiten.

Kritische Erfolgsfaktoren

  • Geschäftsziele: Alles rund um die Informationssicherheit – ob grundsätzliche Regelungen, Ziele oder Maßnahmen – muss einen Bezug zu den Geschäftszielen haben und auf diese abgestimmt sein – Informationssicherheit darf kein Selbstzweck sein, sondern muss den Geschäftszielen dienen.
  • Unternehmenskultur: Vorgehen und Vorgehensmodell sollten mit der Unternehmenskultur übereinstimmen, um reibungslos zu funktionieren.
  • Management-Zustimmung: Jegliche Maßnahmen und Regelungen der Informationssicherheit brauchen volle Zustimmung und Unterstützung durch das Management aller Hierarchieebenen.
  • Risikobewertung: Alle Beteiligten brauchen ein gutes Verständnis von Risikobewertung und
  • -management, weshalb umfangreiche Trainings sinnvoll sind. Zu Beginn kann eine nicht so detaillierte Risikobewertung, die nach und nach verfeinert wird, helfen um den Prozess überhaupt zu starten.
  • Informationssicherheitspolitik: Die Kenntnis der Sicherheitspolitik ist essentiell, daher sollten sowohl Manager als auch Mitarbeiter sowie externe Beteiligte regelmäßig geschult werden.
  • Problem-Bewusstsein: Durch Schulungen der Mitarbeiter sollte für ein vernünftiges Problem-Bewusstsein gesorgt werden.
  • Budget: Damit immer ausreichend Budget für die Aktivitäten und Maßnahmen der Informationssicherheit bereit steht, muss ein realistischer Kostenplan erstellt werden.
  • Prozesse für kritische Vorfälle: Tritt der Fall der Fälle ein, beispielsweise eine Cyberattacke oder ein Ausfall der Kühlgeräte, ist ein klar definierter Prozess notwendig, in dem auch die Verantwortlichkeiten und genaue Anforderungen festgehalten sind.
  • Kennzahlen-System: Um die Effizienz und die kontinuierliche Verbesserung des Informationssicherheitsmanagements zu steuern, ist der Aufbau eines Kennzahlen-Systems sinnvoll.

Weitere Informationen zu den Themen Informationssicherheit, Datenschutz und IT-Security erhalten Interessenten unter:

http://www.tuev-sued.de/informationstechnologie-it

GRID LIST
Tb W190 H80 Crop Int 0585afa5d97ff8c6d1669002374e37e3

Übersichtliche Dashboards für die Web Application Firewall

Airlock, das Security-Produkt des Schweizer Softwareentwicklers Ergon Informatik AG,…
Tb W190 H80 Crop Int 09dfa399a4a7e8c6b7042604b55c67a8

2018 wird ein gefährliches Cyber-Jahr

Auch im Jahr 2018 werden Hacker-Angriffe und Anschläge auf die Cyber-Sicherheit zu den…
Cyber-Attack

Cyber-Attacken auf Unternehmen zeigen immense Auswirkungen

Tägliche Angriffe auf die IT-Infrastruktur von Unternehmen sind 2017 zur Regel geworden“,…
Tb W190 H80 Crop Int A0b658a2645ffe77f8cfee09e585c568

IT als Teil der inneren Sicherheit?

In immer größeren Mengen und immer kürzeren Abständen kommen neue, smarte IT-Produkte auf…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security