certqua

Business

Wie Sie in 5 Schritten Ihr QM-System um ein effektives Informationssicherheitsmanagement ergänzen können

Von certqua

Im Zuge der stetig fortschreitenden Informationstechnologie und des zunehmenden Wettbewerbs, ist es für Unternehmen unerlässlich das Management kontinuierlich zu modernisieren. Dazu gehört ein gut durchdachter Informationssicherheitsprozess. Er ist die Grundlage für eine systematische und regelmäßige Bedrohungsanalyse und fordert die Planung, Umsetzung und Überprüfung angemessener Sicherheitsmaßnahmen.

5 Schritte für den Aufbau und die Umsetzung eines Informationssicherheitsprozess


1. Sicherheitsziele festlegen
Zu Beginn eines Informationssicherheitsprozesses muss das Management eines Unternehmens Sicherheitsziele festlegen. Dafür muss es Klarheit darüber haben, welche Informationen zu schützen sind. Diese können z.B. Firmenwissen, Informationen über Geschäftsprozesse oder persönliche Informationen sein. Daraus lassen sich dann Sicherheitsziele ableiten, die vorgeben, wann und wie die Informationen verfügbar sein sollen. Sind die Ziele dann formuliert, sollten diese auch an die Mitarbeiter kommuniziert werden.

2. Schutzbedarf feststellen
Mit einer systematischen Schutzbedarfsfeststellung werden die Verfahren herausgestellt, die wirklich schützenswert sind. Denn auch bei der Umsetzung von Sicherheitsmaßnahmen, sollten immer Nutzen und Aufwand in einem angemessenen Verhältnis zum Schutzzweck stehen. Sind dann die schutzbedürftigen Verfahren benannt, sollte der Schutzbedarf eingestuft werden. Dabei werden maximale Schäden eingeschätzt und in Schutzkategorien (von unbedeutend bis existenzgefährdend) eingeteilt. Hilfreich dafür können realistische Schadensszenarien sein, um den Schutzbedarf einzustufen. In einem weiteren Schritt lassen sich dann die beteiligten IT-Systeme und Infrastrukturkomponenten ableiten, die für die Verfahren besonders bedeutend oder kritisch sind.

3. Bedrohungen analysieren und Risiken abschätzen
Verfahren, die einen hohen oder mittleren Schutzbedarf besitzen, werden einer Bedrohungsanalyse unterzogen. Diese können z.B. Ausfall von Hardware-Komponenten, Versagen der Software, Angriffe durch Hacker, Viren und Trojaner etc. sein. Die Analysen sollten fester Bestandteil des Informationssicherheitsprozesses werden, da sie immer dann durchzuführen sind, wenn Geschäftsprozesse oder die IT-Infrastruktur geändert werden. Dadurch können Sicherheitsdefizite identifiziert und geeignete Maßnahmen abgeleitet werden.
Zusätzlich zur Bedrohungsanalyse kommt die Risikoabschätzung. Hierbei werden die Wahrscheinlichkeit eines bedrohenden Ereignisses (von häufig bis unvorstellbar) sowie das Schadensausmaß als Folge des eingetretenden Ereignisses eingeschätzt (von existenzgefährdend bis unbedeutend). Das Risiko ergibt sich dann aus der Mulitplikation der Eintrittswahrscheinlichkeit und des Schadensausmaßes.

4. Sicherheitsmaßnahmen festlegen
In einem nächsten Schritt sollte festgelegt werden, welche Maßnahmen umgesetzt werden sollen. Diese sollten zeitnah dokumentiert werden, so dass im Laufe der Maßnahmenumsetzung einzelne sicherheitsbezogene Festlegungen zum Sicherheitshandbuch reifen können. Eindeutige Normen und Standards für eine Dokumentation gibt es nicht. Ausgangsbasis sollte die eigene Struktur der Geschäftsprozesse sein. Folgende Aspekte können jedoch einbezogen werden: Organisation und Personal, Infrastruktur, IT-Systemadministration und Arbeitsplatz- und Benutzerverantwortung.

5. Sicherheitsmaßnahmen überwachen
Die Überwachung der Sicherheitsmaßnahmen ist entscheidend für einen wirksamen und langfristigen Informationssicherheitsprozess. Vergleichbar ist die Überwachung mit einer Auditierung eines Qualitätsmanagementsystems. Zeigt sich, dass Lücken oder Mängel im Prozess bestehen, müssen Korrekturen vorgenommen werden. Der Zeitpunkt und die Häufigkeit der Überprüfungen richten sich nach der Art des Prüfobjekts. Automatisierte Sicherheitschecks können sofort vorgenommen werden. Für andere Verfahren kann es genügen, sie erst nach Sicherheitsvorfällen oder Änderungen durchzuführen. Insgesamt sollten aber alle Sicherheitsmaßnahmen verteilt über ein Jahr überprüft werden. Die Ergebnisse der Überwachung werden dann im Hinblick auf die Sicherheitsziele aufbereitet und mit der Unternehmensleitung besprochen.

Mit diesen genannten 5 Schritten kann ein langfristiges Informationssicherheitsmanagement aufgebaut, umgesetzt und in ein ganzheitliches Qualitätsmanagement integriert werden. Ein auf die Einrichtung abgestimmtes Qualitätssystem ist die Voraussetzung für eine nachhaltige Qualitätssicherung. Die Zertifizierung von Qualitätsmanagementsystemen übernehmen akkreditierte Zertifizierungsorganisationen, die die Systeme mit anerkannten Normregelwerken abgleichen und bewerten. Die CERTQUA – Gesellschaft der Deutschen Wirtschaft zur Förderung und Zertifizierung von Qualitätssicherungssystemen in der beruflichen Bildung ist als spezialisierte Zertifizierungsorganisation schwerpunktmäßig im Bereich der beruflichen Bildung aufgestellt.