(Informations-)Sicherheitsmanagement (ISM)
Ist IT-Sicherheit
und IT- bzw. Informationssicherheitsmanagement in Ihrem Unternehmen ein
leidiges Thema? Bestimmen Insellösungen, heterogene IT-Landschaft und
Ausfälle Ihren Alltag? Liegt der Fokus auf Technik und Tools? Dann lesen
Sie:
Die zunehmende Vernetzung und Globalisierung, der
technologische Fortschritt, die digitale Transformation und das breitere
Allgemeinwissen führen neben ihren vielfältigen positiven Auswirkungen
auch zu einer kontinuierlichen Zunahme der Bedrohungen für Unternehmen.
Von fast jedem Punkt der Erde kann mit geringen Hilfsmitteln ein Angriff
gefahren werden: Ein gebrauchter Computer und eine Internet-Anbindung
gepaart mit entsprechendem Know-how ermöglichen dies.
Parallel
zur Zunahme der Bedrohungen werden die Geschäftsprozesse mehr und mehr
von Informationssystemen unterstützt oder gar durchgeführt, wodurch ihre
Abhängigkeit und damit der Schutzbedarf der Unternehmen zunimmt.
Doch
nicht nur die Zahl der Informationssysteme, sondern auch ihre
Funktionalität und Komplexität steigen. Moderne Software-Architekturen
mit dynamischen Bibliotheken und Plug-ins sowie weltweite Vernetzung
schaffen darüber hinaus ein schwer durchschaubares Ganzes. Anlagen,
Systeme und Geräte sind immer stärker mit Informations- und
Kommunikationstechnik ausgestattet und dadurch angreifbar.
Dieser
Situation stehen in manchen Unternehmen gewachsene IT-Landschaften und
sicherheitstechnische Insellösungen gegenüber, deren Angemessenheit,
Durchgängigkeit, Transparenz, Effizienz und Wirksamkeit in Frage steht.
Dies sind jedoch wesentliche Elemente, um die Handlungsfähigkeit und das
Image eines Unternehmens abzusichern.
Das
Top-down-Vorgehensmodell anhand der dreidimensionalen
Sicherheitspyramide nach Dr.-Ing. Müller zielt ab zum einen auf den
systematischen und strategischen Aufbau und zum anderen auf die
Weiterentwicklung des Sicherheitsmanagements. Es bietet Strukturen,
Checklisten und prinzipielle Beispielsinhalte für die verschiedenen
Ebenen des Vorgehensmodells, beginnend bei der Sicherheitspolitik des
Unternehmens und den Sicherheitszielen. Es unterstützt in verschiedenen
Schritten bei deren Umsetzung und Verfeinerung bis hin zu
Sicherheitsstandards, Sicherheitskonzepten und -maßnahmen. Bestehende
unternehmensspezifische Konzepte können "eingeklinkt" oder auf Basis der
Standards des Vorgehensmodells weiterentwickelt werden. Ein Regelkreis
umrahmt die Sicherheitspyramide und unterstützt die kontinuierliche
Fortentwicklung des Sicherheitsmanagements.
Das aktuelle
Sicherheitsniveau kann durch Sicherheitsstudien, Risikoanalysen und
Penetrationstests überprüft und verbessert werden. Gleichzeitig können
dadurch die Inhalte der Sicherheitspyramide weiter entwickelt werden.
Ergänzende Veröffentlichungen zum Thema Sicherheit
Die
folgenden Publikationen weisen einen unterschiedlichen Fokus von
allgemeinverständlichen (a) Grundlagen über praxisorientierte (p) und
standardisierende (s) bis hin zu wissenschaftlich-lehrenden (w) Büchern
auf.
Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz-Kompendium des BSI (p)
Eckert, Claudia: IT-Sicherheit: Konzepte - Verfahren - Protokolle, De-Gruyter-Verlag, 2018 (w)
Hoppe, Gabriela und Prieß, Andreas: Sicherheit von Informationssystemen, Verlag Neue Wirtschafts-Briefe, 2003 (w)
ISO/IEC
27000:2018, Information technology - Security techniques - Information
security management systems - Overview and vocabulary (s)
ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements (s)
ISO/IEC 27002:2013, Information technology - Security techniques - Code of practice for information security controls (s)
Kyas, Othmar und a Campo, Markus: IT-Crackdown - Sicherheit im Internet, mitp-Verlag, 2002
Schneier, Bruce: Secrets & Lies - IT-Sicherheit in einer vernetzten Welt, dpunkt-Verlag, 2001 (a)
Wald, Egbert: Backup und Disaster Recovery, mitp-Verlag, 2002 (p)