Informationssicherheit oder IT-Sicherheit?
Oft werden die Begriffe „Informationssicherheit“ und „IT-Sicherheit“ synonym genutzt und ihre Bedeutung beschränkt sich auf die Aspekte der Sicherheit in IT-Systemen. Hierbei stehen technische Maßnahmen zur Sicherung der Systeme gegen das Eindringen von Schadsoftware oder gegen unberechtigten Zugriff auf Daten im Vordergrund.
Diese technischen Maßnahmen werden jedoch nur vom Begriff der „IT-Sicherheit“ erfasst. „Informationssicherheit“ kennzeichnet darüber hinaus eine ganzheitliche Betrachtung möglicher interner und externer Bedrohungen der Unternehmenswerte, z. B. durch unbedachtes Verhalten von Mitarbeitern, sowie entsprechender Maßnahmen zur Gefahrenminderung.
Als Unternehmenswerte gelten Informationen, Produkte, Prozesse oder auch Systeme, die für das Unternehmen strategische Relevanz haben und deshalb in erhöhtem Maße schützenswert sind.
IT-Sicherheit ist somit lediglich ein Teilaspekt der Informationssicherheit.
Informationssicherheit — ein ganzheitlicher Ansatz
Folgende Schritte sind empfehlenswert auf dem Weg zu einem zuverlässigen Management der Informationssicherheit in Ihrem Unternehmen:
Klären Sie, welche Unternehmenswerte geschützt werden sollen, und zwar durch:
- Bestimmung des erforderlichen Schutzniveaus der einzelnen Unternehmenswerte (z. B. „kein Schutz“, „geringer Schutz“, „mittlerer Schutz“ und „hoher Schutz“),
- Bündelung der den verschiedenen Schutzniveaus zugehörigen Unternehmenswerte.
Definieren Sie, wie sensible Unternehmenswerte geschützt werden sollen, und zwar durch:
- Identifizierung möglicher Bedrohungen,
- Identifizierung und Bewertung der Risiken, die dazu führen können, dass ein Bedrohungsszenario der Unternehmenswerte wirksam wird,
- Definition der technischen und organisatorischen Maßnahmen zur Minderung der Risiken bzw. zur Festlegung akzeptabler Risiken.
Legen Sie fest, wie die Güte des Schutzes der Unternehmenswerte ermittelt werden soll, und zwar durch:
- Definition eines Prozesses, welcher der Bewertung des Umsetzungsgrades der Maßnahmen zur Minderung der Informationssicherheits-Risiken dient.
Informationssicherheit nachhaltig sicherstellen
Der Schutz von Unternehmenswerten ist keine einmalige Aktion, sondern sollte permanent ein Teil des Tagesgeschäftes im Unternehmen sein. Damit das Thema „Informationssicherheit“ kontinuierlich die nötige Aufmerksamkeit im Unternehmen erhält, empfiehlt sich der Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Im ISMS sind die Regeln und Verfahren definiert, die der Aufrechterhaltung der Informationssicherheit im Unternehmen dienen sowie diese permanent verbessern. Ein wirksames ISMS kann nach ISO 27001 zertifiziert werden.
Ein auf das jeweilige Unternehmen zugeschnittenes ISMS und dessen konsequente Umsetzung trägt entscheidend dazu bei, die Unternehmenswerte angemessen zu schützen und damit den Unternehmenserfolg langfristig zu sichern.
Nutzen Sie meine Erfahrungen als PECB Certified ISO/IEC 27001 Lead Auditor und führen Sie mit meiner Unterstützung ein Informationssicherheitsmanagementsystem in Ihrem Unternehmen ein. Dieses bietet einen nachhaltigen und wirksamen Schutz Ihrer Unternehmenswerte gegen die in zunehmendem Maße auftretenden internen und externen Bedrohungen.