Consultant: Informationssicherheit
Informationen schützen
Informationen sind für die Unternehmen mittlerweile neben den Werkstoffen, den Betriebsmitteln und der ausführenden Arbeit zum vierten betriebswirtschaftlichen Wert geworden. Die Qualität der Informationsnutzung ist entscheidend für den Erfolg und die Wettbewerbsfähigkeit des Unternehmens. Dazu gehört in einer zunehmend vernetzten Welt ein angemessener Schutz der Informationen. Somit gewinnt für die Unternehmen ein Information-Security-Management-System (ISMS) immer mehr an Bedeutung.
Einerseits zwingen Anforderungen der Kunden und Geschäftspartner dazu, die richtigen Informationen am richtigen Ort präsent zu haben. Andererseits sind dem freizügigen Umgang mit Informationen Grenzen gesetzt. Gesetzliche Vorschriften und interne Vorgaben sind einzuhalten. Wird mit Informationen nicht gesetzeskonform und sorgsam umgegangen, drohen nicht nur Strafzahlungen, auch die Außenwirkung des Unternehmens kann darunter leiden. Angesichts dieser Ausgangslage hilft den Unternehmen nur eins: Die Sicherheit der Informationen durch ein strukturiertes ISMS mit geeigneten Kontroll- und Schutzmaßnahmen in den Griff zu bekommen.
Als Grundlage für den Aufbau eines ISMS im Unternehmen können die Standards ISO 2700x oder die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten Standards 100-1 bis 100-4 dienen. Diese Standards bieten Best-Practices, um über themenspezifische Bausteine ein ISMS zu entwickeln, zu implementieren und zu betreiben. Ziel ist es, die Informationsrisiken im Unternehmen zu identifizieren, zu analysieren und durch entsprechende Maßnahmen und Mechanismen beherrschbar zu machen. Dazu sollten die Informationen mindestens hinsichtlich der Schutzziele „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“ analysiert und beurteilt werden, um sie anschließend in Schutzbedarfsklassen wie „normal“, „hoch“ oder „sehr hoch“ ein-zustufen. Von ihnen hängen später Art und Umfang der technisch-organisatorischen Schutzmaßnahmen ab.
Wichtig für ein erfolgreiches Projekt zur ISMS-Einführung ist die Wahl einen ganzheitlichen Ansatzes. Nur so können sämtliche zu verarbeitenden, zu speichernden, zu verteilenden und zu schützenden Informationen in ihrem Gesamtkontext erfasst, bewertet und eingestuft werden. Mit der Einführung allein ist es allerdings nicht getan. Ein ISMS läuft erst durch einen kontinuierlichen Verbesserungsprozess zur Höchstform auf. Nur er führt über die Zeit zu einem nachhaltigen, stabilen und effizient betriebenen ISMS, das den Wert der Informationen angemessen schützt. Wichtig ist außerdem, dass die Initiative für die Ausgestaltung des ISMS von Anfang an vom Unternehmensmanagement ausgeht. Diese Direktive „von Oben“ ist zwingend notwendig, um das Einführungs-Projekt gezielt voranzutreiben und anschließend die ISMS-Prozesse sowie die etablierten Prinzipien und Maßnahmen innerhalb der Organisation verlässlich zu leben. Letztlich haftet die Unternehmensführung persönlich dafür, dass die Informationssicherheit intern etabliert und gelebt wird. Mehr noch: Ihr fällt in punkto Informationssicherheit eine Vorbildfunktion zu.
- Informationen schützen
- Informationen schützen
Lesen Sie mehr zum Thema
