Sie sind auf Seite 1von 4

Kontakt:

CERTQUA GmbH Bonner Talweg 68 53113 Bonn Tel.: 0228/4299200 Fax: 0228/2803430 E-Mail: presse@certqua.de

Fachartikel

Wie Sie in 5 Schritten Ihr QM-System um ein effektives Informationssicherheitsmanagement ergnzen knnen

Im Zuge der stetig fortschreitenden Informationstechnologie und des zunehmenden Wettbewerbs, ist es fr Unternehmen unerlsslich das Management kontinuierlich zu modernisieren. Dazu gehrt ein gut durchdachter Informationssicherheitsprozess. Er ist die Grundlage fr eine systematische und regelmige Bedrohungsanalyse und fordert die Planung, Umsetzung und berprfung angemessener Sicherheitsmanahmen.

5 Schritte fr den Aufbau Informationssicherheitsprozess

und

die

Umsetzung

eines

1. Sicherheitsziele festlegen Zu Beginn eines Informationssicherheitsprozesses muss das Management eines Unternehmens Sicherheitsziele festlegen. Dafr muss es Klarheit darber haben, welche Informationen zu schtzen sind. Diese knnen z.B. Firmenwissen, Informationen ber Geschftsprozesse oder persnliche Informationen sein. Daraus lassen sich dann Sicherheitsziele ableiten, die vorgeben, wann und wie die Informationen verfgbar sein sollen. Sind die Ziele dann formuliert, sollten diese auch an die Mitarbeiter kommuniziert werden.

2. Schutzbedarf feststellen Mit einer systematischen Schutzbedarfsfeststellung werden die Verfahren herausgestellt, die wirklich schtzenswert sind. Denn auch bei der Umsetzung von Sicherheitsmanahmen, sollten immer Nutzen und Aufwand in einem angemessenen Verhltnis zum Schutzzweck stehen. Sind dann die schutzbedrftigen Verfahren benannt, sollte der Schutzbedarf eingestuft werden. Dabei werden maximale Schden eingeschtzt und in Schutzkategorien (von unbedeutend bis existenzgefhrdend) eingeteilt. Hilfreich dafr knnen realistische Schadensszenarien sein, um den Schutzbedarf einzustufen. In einem weiteren Schritt lassen sich dann die beteiligten IT-Systeme und Infrastrukturkomponenten ableiten, die fr die Verfahren besonders bedeutend oder kritisch sind.

3. Bedrohungen analysieren und Risiken abschtzen Verfahren, die einen hohen oder mittleren Schutzbedarf besitzen, werden einer Bedrohungsanalyse unterzogen. Diese knnen z.B. Ausfall von Hardware-Komponenten, Versagen der Software, Angriffe durch Hacker, Viren und Trojaner etc. sein. Die Analysen sollten fester Bestandteil des Informationssicherheitsprozesses werden, da sie immer dann durchzufhren sind, wenn Geschftsprozesse oder die IT-Infrastruktur gendert werden. Dadurch knnen Sicherheitsdefizite identifiziert und geeignete Manahmen abgeleitet werden. Zustzlich zur Bedrohungsanalyse kommt die Risikoabschtzung. Hierbei werden die Wahrscheinlichkeit eines bedrohenden Ereignisses (von hufig bis unvorstellbar) sowie das Schadensausma als Folge des eingetretenden Ereignisses eingeschtzt (von existenzgefhrdend bis unbedeutend). Das Risiko ergibt sich dann aus der Mulitplikation der Eintrittswahrscheinlichkeit und des Schadensausmaes.

4. Sicherheitsmanahmen festlegen In einem nchsten Schritt sollte festgelegt werden, welche Manahmen umgesetzt werden sollen. Diese sollten zeitnah dokumentiert werden, so dass im Laufe der Manahmenumsetzung einzelne sicherheitsbezogene Festlegungen zum Sicherheitshandbuch reifen knnen. Eindeutige Normen und Standards fr eine Dokumentation gibt es nicht. Ausgangsbasis sollte die eigene Struktur der Geschftsprozesse sein. Folgende Aspekte knnen jedoch einbezogen werden: Organisation und Personal, Infrastruktur, ITSystemadministration und Arbeitsplatz- und Benutzerverantwortung.

5. Sicherheitsmanahmen berwachen Die berwachung der Sicherheitsmanahmen ist entscheidend fr einen wirksamen und langfristigen Informationssicherheitsprozess. Vergleichbar ist die berwachung mit einer Auditierung eines Qualittsmanagementsystems. Zeigt sich, dass Lcken oder Mngel im Prozess bestehen, mssen Korrekturen vorgenommen werden. Der Zeitpunkt und die Hufigkeit der berprfungen richten sich nach der Art des Prfobjekts. Automatisierte Sicherheitschecks knnen sofort vorgenommen werden. Fr andere Verfahren kann es gengen, sie erst nach Sicherheitsvorfllen oder nderungen durchzufhren. Insgesamt sollten aber alle Sicherheitsmanahmen verteilt ber ein Jahr berprft werden. Die Ergebnisse der berwachung werden dann im Hinblick auf die Sicherheitsziele aufbereitet und mit der Unternehmensleitung besprochen.

Mit diesen genannten 5 Schritten kann ein langfristiges Informationssicherheitsmanagement aufgebaut, umgesetzt und in ein ganzheitliches Qualittsmanagement integriert werden. Ein auf die Einrichtung abgestimmtes Qualittssystem ist die Voraussetzung fr eine nachhaltige Qualittssicherung. Die Zertifizierung von Qualittsmanagementsystemen bernehmen akkreditierte Zertifizierungsorganisationen, die die Systeme mit anerkannten Normregelwerken abgleichen und bewerten. Die CERTQUA Gesellschaft der Deutschen Wirtschaft zur Frderung und Zertifizierung von Qualittssicherungssystemen in der beruflichen Bildung (www.certqua.de) ist als spezialisierte Zertifizierungsorganisation schwerpunktmig im Bereich der beruflichen Bildung aufgestellt.

Autorenhinweis: Andreas Orru ist seit 1996 Geschftsfhrer der CERTQUA Gesellschaft der Deutschen Wirtschaft zur Frderung und Zertifizierung von Qualittssicherungssystemen in der beruflichen Bildung mbH. Er ist Experte im Bereich Qualittsmanagement fr Bildungsorganisationen. Nach seinem Studium der Soziologie sowie Rechtswissenschaft mit dem Schwerpunkt Industrie- und Organisationssoziologie an der Universitt Bielefeld war er als Lehrbeauftragter im Bereich Internationales Qualittsmanagement an der Universitt Dsseldorf ttig.