SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum


ChecklisteDas Thema Informationssicherheit sollte nicht unterschätzt werden, denn der Schutz von Daten und deren Verfügbarkeit sind essentiell für den Erfolg von Unternehmen. Ein Großteil der nötigen Maßnahmen und Zuständigkeiten entfällt dabei auf das Management und muss dementsprechend geplant und gesteuert werden. 

Die Experten von TÜV SÜD geben Tipps für die Umsetzung eines Informationssicherheits-Managementsystems und informieren über die kritischen Erfolgsfaktoren.

Die Umsetzung

  • Geltungsbereich: Im ersten Schritt müssen der Geltungsbereich und die Grenzen des Informationssicherheits-Managementsystems definiert werden.
  • Informationssicherheitspolitik: Anschließend braucht es eine vom Management bestätigte Informationssicherheitspolitik im Unternehmen, die die sicherheitsbezogenen Ziele, Strategien, Verantwortlichkeiten und Maßnahmen langfristig und verbindlich festlegt. Jedes Unternehmen sollte dabei für sich selbst definieren, welchen Grad an Sicherheit es benötigt.
  • Informationswerte: Im dritten Schritt sind die wesentlichen Informationswerte zu definieren und zu kategorisieren. Darunter können technische Systeme, Informationen, Dokumente aber auch Personen fallen. Entsprechend der Kategorisierung als vertraulich, streng vertraulich etc. ergeben sich dann die zu treffenden Maßnahmen.
  • Risiken: Je nach Rahmenbedingungen und Standort des Unternehmens gibt es unterschiedliche Risiken, die identifiziert werden müssen. Darunter können fallen: Überflutungen, Erdbeben, Brand, Cyberattacken oder der Ausfall von Kühlgeräten. Je nach Schwere der identifizierten Risiken ist abzuwägen, ob dieses Risiko tragbar ist oder ob entsprechende Maßnahmen notwendig sind.
  • Sicherheitsmaßnahmen: Schlussendlich sollten die entsprechenden Sicherheitsmaßnahmen eingeleitet werden. Eine Orientierungshilfe mit passenden Maßnahmen bietet Anhang A der ISO 27001. Dazu zählen beispielsweise die Zugangskontrolle, der Schutz vor Malware, ein Backup für die Informationen oder die Zuteilung von Verantwortlichkeiten.

Kritische Erfolgsfaktoren

  • Geschäftsziele: Alles rund um die Informationssicherheit – ob grundsätzliche Regelungen, Ziele oder Maßnahmen – muss einen Bezug zu den Geschäftszielen haben und auf diese abgestimmt sein – Informationssicherheit darf kein Selbstzweck sein, sondern muss den Geschäftszielen dienen.
  • Unternehmenskultur: Vorgehen und Vorgehensmodell sollten mit der Unternehmenskultur übereinstimmen, um reibungslos zu funktionieren.
  • Management-Zustimmung: Jegliche Maßnahmen und Regelungen der Informationssicherheit brauchen volle Zustimmung und Unterstützung durch das Management aller Hierarchieebenen.
  • Risikobewertung: Alle Beteiligten brauchen ein gutes Verständnis von Risikobewertung und
  • -management, weshalb umfangreiche Trainings sinnvoll sind. Zu Beginn kann eine nicht so detaillierte Risikobewertung, die nach und nach verfeinert wird, helfen um den Prozess überhaupt zu starten.
  • Informationssicherheitspolitik: Die Kenntnis der Sicherheitspolitik ist essentiell, daher sollten sowohl Manager als auch Mitarbeiter sowie externe Beteiligte regelmäßig geschult werden.
  • Problem-Bewusstsein: Durch Schulungen der Mitarbeiter sollte für ein vernünftiges Problem-Bewusstsein gesorgt werden.
  • Budget: Damit immer ausreichend Budget für die Aktivitäten und Maßnahmen der Informationssicherheit bereit steht, muss ein realistischer Kostenplan erstellt werden.
  • Prozesse für kritische Vorfälle: Tritt der Fall der Fälle ein, beispielsweise eine Cyberattacke oder ein Ausfall der Kühlgeräte, ist ein klar definierter Prozess notwendig, in dem auch die Verantwortlichkeiten und genaue Anforderungen festgehalten sind.
  • Kennzahlen-System: Um die Effizienz und die kontinuierliche Verbesserung des Informationssicherheitsmanagements zu steuern, ist der Aufbau eines Kennzahlen-Systems sinnvoll.

Weitere Informationen zu den Themen Informationssicherheit, Datenschutz und IT-Security erhalten Interessenten unter:

http://www.tuev-sued.de/informationstechnologie-it

GRID LIST
Oliver Keizers

Integration von Security-Tools - Den Wald vor lauter Bäumen nicht sehen

"Den Wald vor lauter Bäumen nicht sehen" lässt sich gut auf die Situation in vielen…
Tb W190 H80 Crop Int 756f2d2c4f6fbb1774da012155e3a3b1

Apama EagleEye: KI-unterstützte Marktüberwachungslösung

Die Software AG hat Apama EagleEye vorgestellt, ein Marktüberwachungssystem, das eine…
Oliver Bendig

Patentrezept für IT-Security

Es gibt kaum ein Unternehmen, das nicht schon einmal Ziel einer Cyber-Attacke geworden…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

Neue Clavister-Firewall E10 für den Mittelstand

Der schwedische Hersteller Clavister stellt seine neue Next Generation Firewall E10 NGFW…
Penetrationstest

Penetrationstest ist nicht gleich Penetrationstest

Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Die…
Tb W190 H80 Crop Int B105883123d2264a138f7eac7750dea8

McAfee integriert „Advanced Analytics“ für optimierte SOC-Effizienz

McAfee stellt neue Endpunkt- und Cloud-Lösungen vor. Diese nutzen die Geschwindigkeit und…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet