Diese Seite verwendet Cookies. Cookies werden zur Benutzerführung und Webanalyse verwendet und helfen dabei, diese Seite besser zu machen.     Ja, ich stimme zu.  Nein, ich wünsche mehr Informationen.
IT Sicherheit: Wer schreibt, der bleibt.

IT Sicherheit: Wer schreibt, der bleibt.

26 Mär 2018

Die IT-Sicherheit im Unternehmen ist nur mit den Grundlagen aus dem Qualitätsmanagement möglich und umsetzbar. Eine verschlossene und versiegelte Datentonne, die mutterseelenallein am Straßenrand steht, weil der Entsorger sich verspätet, legt den neuralgischen Punkt der IT-Sicherheit offen: Bevor in technische Lösungen investiert wird, sind zunächst grundlegende organisatorische Maßnahmen zu klären.

Vielerorts diskutierte Konzepte zur IT-Sicherheit greifen zu kurz, wenn der Blick nur auf technische Lösungen wie Firewalls verengt ist. Die Datensicherung nützt nichts, wenn sie verloren geht und nicht verschlüsselt war. Oder wenn der Reinigungsdienst die Schließgewalt für alle Büroräume hat, und damit jede physikalische Sicherungsmaßnahme außerhalb der normalen Geschäftszeit außer Kraft gesetzt ist.

Erst das Ineinandergreifen von technischen und organisatorischen Maßnahmen (die sogenannten TOMS) ermöglicht ein angemessenes Niveau an IT-Sicherheit. Für ein aktives IT-Sicherheitsmanagement ist eine grundlegende Dokumentation mit Basisdokumenten der zentrale Ausgangspunkt. Dieses Mindestmaß an Dokumentation ist für ein strukturiertes Sicherheitskonzept der IT-Landschaft absolut grundlegend, damit die Aktivitäten nachvollziehbar und steuerbar werden.

IT-Sicherheit individuell auf das Unternehmen zugeschnitten

Die eine IT-Sicherheit gibt es nicht. Sie resultiert erst aus einem auf das jeweilige Unternehmen maßgeschneiderten Maßnahmenpaket. Folglich sollte sich jeder Organisation, ob Klein- oder Großbetrieb ein Bild darüber machen, welche Unternehmensziele und Leistungsversprechen gegenüber dem Kunden durch einen IT-Sicherheitsvorfall gestört werden können.

Um mit möglichst geringem Aufwand das angestrebte IT-Sicherheitsniveau zu definieren und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage anzupassen, ist die Dokumentation der IT-Prozesse ein MUSS. Die zentrale Frage lautet daher: Was sind meine Kronjuwelen? Hierfür sind die geschäftskritischen IT-Prozesse und Komponenten (Assets) zu analysieren. Dokumentiert wird beispielsweise ob Desktops an den Arbeitsplätzen Bildschirmsperren und eine Abmelde-Routine haben,  der topographische Aufbau des Netzwerks, die Übersicht mit aktiven Netzwerkkomponenten (Switches, Router etc.) und passiven Netzwerkkomponenten (Netzwerkkabel, Patchfelder, Verteilerschränke etc.).

Das Mindestmaß an Dokumentation für die IT-Sicherheit

  • IT-Ziele und Informationssicherheitsziele, die aus den übergeordneten Unternehmenszielen abgeleitet sind
  • Schutzbedarf und Risikomanagement der Unternehmenswerte und IT-Systeme
  • Externe Vorgaben durch Gesetze, Regulatoren und Normen
  • Interne Vorgaben und Richtlinien
  • Vertragliche Verpflichtungen
  • Managementbewertung und Nachweis interner Audits
  • Organigramm und ggf. die Berufung der "kompetenten" Personen

Fazit:

IT-Sicherheit wird zum integralen Bestandteil des Service- und Qualitätsmanagements. Im ersten Schritt ist das Unternehmensziel als Leitbild zu formulieren, um daraus die IT-Sicherheitsziele abzuleiten.Die Verantwortlichen im Unternehmen, sprich die Unternehmensleitung, müssen sich einen Überblick über die IT-Bestandteile (Assets) der gesamten Prozesskette verschaffen und Handlungsvorgaben ableiten. Hierfür sind Dokumentationen unerlässlich. Sie werden von der Geschäftsleitung ausgegeben und beinhalten eine verpflichtende Vorgabe für jedes Handeln im Unternehmen.

Categories: Expertenwissen

DEKRA Certification

  • Telefon +49 711 7861 2566
  • Handwerkstraße 15, 70565 Stuttgart

Schreiben Sie uns