Begriffsdefinition Information Security
Die deutsche Übersetzung des Begriffs Informations-Sicherheit macht deutlich, dass der derzeitigen Informationstechnologie das Bestreben obliegt, Datenverarbeitung so gesichert und kontrolliert zugänglich zu bewältigen, dass damit unbefugte Nutzungen ausgeschlossen werden können.
Die Datenverarbeitung hat sich heute auch auf dem weiten Feld der Unternehmenssicherheit zu einem bedeutenden Schwerpunkt entfaltet. Dazu zitiert aus dem Managementhandbuch Sicherheitswirtschaft und Unternehmenssicherheit:
„Der Prozess >Sicheres Unternehmen< ist integriert in den Managementprozess des Gesamtunternehmens. Die Sicherheitstechnik ist ein Teilgebiet des Objektschutzes eines Betriebes. Bei Lösungserwägungen im Objektschutz-Bereich kommt es zunehmend darauf an, Sicherheitstechnik im engen Zusammenwirken mit Schutz durch Personal zu konzipieren. Die sinnvolle Kombination der Faktoren Bewachung durch Personal und Sicherheitstechnik bleibt die Herausforderung für die Zukunft.“
Security-Management
Das Security-Management beschäftigt sich mit Maßnahmen der Informations- und Datensicherheit in Unternehmen. Das Bewusstsein dafür sollte mit dem Beitrag Sicherheitsmelder Information Security Manager angeregt worden sein.
Das Deutsche Institut für Normung e.V. (DIN) hat zur Datensicherheit in Unternehmen die Normungen ISO 20000 und ISO 27001 herausgegeben. Die Abkürzung ISO steht für International Organisation for Standardization.
ISO 20000
Die ISO 20000 ist ein international anerkannter Standard für das IT Service Management. Sie spezifiziert die notwendigen Mindestanforderungen an Prozesse, die eine Organisation einrichten und nachweisen muss, um IT-Services in definierter Qualität für interne und externe Kunden erbringen zu können. Die ISO 20000 enthält nur allgemeine Vorgaben für die Einrichtung eines IT-Sicherheits-Managements. Für die Zertifizierung des Managements wurde die eigene Norm ISO 27001 geschaffen.
ISO 27001
Die internationale Norm ISO/IEC 27001 „Information Technology – Security Technics – Information Security Management Systems – Requirements” spezifiziert die Anforderungen an geeignete Sicherheitsmechanismen zum Schutz sämtlicher Werte in der Informationstechnik. Sie berücksichtigt dabei die Sicherheitsrisiken innerhalb einer Organisation und formuliert Grundsätze zu Einrichtung, Betrieb, Überwachung, Wartung und Verbesserung eines Information-Security-Management-Systems.
Anforderungen an das Information-Security-Management-System (ISMS)
Die Sicherheit und Zuverlässigkeit eines Unternehmens wird derzeit auch an der Qualität der Datenverarbeitung gemessen. Erworbene Zertifizierung dafür wird zunehmend gefordert, um den Wettbewerb zu bestehen. Eine Forderung lautet: Eine IT-Organisation muss belegen können, dass die IT-Service-Prozesse dokumentiert, aktiv gemanagt und kontinuierlich verbessert werden.
Das Hauptziel einer Zertifizierung liegt vornehmlich darin, Lücken zwischen Ist- und Soll-Zustand einer IT-Organisation aufzudecken und durch Einführung neuer Arbeitsabläufe zu schließen. Nach erster Erteilung eines Zertifikats und während der Gültigkeitsdauer von drei Jahren sind wiederholende Einschätzungen geboten. Dabei können entsprechend zertifizierte Auditoren (fachkundiges Prüfungspersonal) hilfreich sein. Diese erfolgreichen Auditor-Prüfungen beweisen, dass die Prinzipien des IT-Service-Managements und die Inhalte der aufgezeigten ISO/ICE-Standards verstanden sind.
Zu dem dargestellten Anforderungs- und Zertifizierungsverfahren haben sich am Markt inzwischen mehrere Anbieter eingerichtet. Hierzu zählt auch der TÜV Rheinland, der nachfolgend zum Thema vorgestellt wird.
TÜV Rheinland zum ISMS
Ein ISMS ist eine systematische Herangehensweise, die technische und menschliche Faktoren der Datenverarbeitung berücksichtigt, um Vertrauensprobleme auszuschalten und Wettbewerbsnachteile zu vermeiden.
Auf der Grundlage dieser selbst zur Informationssicherheit veröffentlichten Haltung sieht der TÜV Rheinland ein professionelles IT-Sicherheitsmanagement, welcher organisiert und nachweislich betrieben wird, heute für ein Unternehmen als dringend notwendig an.
Angeboten wird, einem interessierten Unternehmen ein entsprechend individuell geartetes ISMS aufzubauen.
Benannt werden zwei Schritte zu einem leistungsstarken ISMS:
- Nach einer Analyse anhand der Gegebenheiten des vorhandenen IT-Systems und des formulierten Sicherheitsbedürfnisses wird eine Projektplanung zur Verbesserung des Sicherheitsniveaus vorgestellt.
- Darauf aufbauend wird ein passgenaues ISMS installiert.
Ablauf einer Auditoren-Prüfung und Zertifizierung:
- Prüfung, inwieweit ein vorhandenes ISMS den Anforderungen nach aktuellem Standard entspricht (Bestandsaufnahme).
- Prüfung der Angemessenheit und Wirksamkeit zum Sammeln von Informationen, zum Verifizieren von Nachweisen, Inspektion der vorhandenen Räumlichkeiten.
Sind alle Kriterien erfüllt, bescheinigt das Zertifikat die Normkonformität und Funktionsfähigkeit des ISMS. Jährliche Überprüfungsaudits unterstützen bei der kontinuierlichen Optimierung der IT-Prozesse.
Die TÜV Rheinland Prüfkriterien im Überblick (Auszug)
- Organisation der Informationssicherheit
- Personelle Sicherheit
- Management der Kommunikation und des Unternehmens, Zugriffskontrolle
- Management von Sicherheitsvorfällen
- Erfüllung rechtlicher und organisatorischer Anforderungen
- Sind Informationen verfügbar, wenn sie gebraucht werden?
- Gibt es klar festgelegte Berechtigungen, welche Personen auf welche Informationen zugreifen dürfen?
Praxishinweise:
Näheres erfahren Sie beim TÜV Rheinland:
Bereich Informationstechnologie & -dienste
Am Grauen Stein
51 105 Köln;
E-Mail: service@i-sec.tuv.com;
Tel.: (0221) 806-4050
Quelle:
Managementhandbuch Sicherheitswirtschaft und Unternehmenssicherheit, Teil C.I „Grundlagen und Perspektiven der Sicherheitstechnik“ Seiten 588 ff; RICHARD BOORBERG VERLAG; Stuttgart 2012
