Grundsätzlich ist Informationssicherheit auf der obersten Stufe der Organisationsleitung, ob Behörde oder Unternehmen, angesiedelt. Sicherheit ist Chef(innen)-Sache. Der Informationssicherheitsprozess ist als iterativer Prozess nach dem PDCA-Zyklus zu organisieren. Prozesse, Anwendungen und Umweltbedingungen ändern sich fortlaufend, somit müssen Maßnahmen zur Gewährleistung der Sicherheitsziele permanent überprüft und ggf. weiterentwickelt werden.
Verfügbarkeit, Vertraulichkeit und Integrität
sind die zentralen Gewährleistungsziele der Informationssicherheit. Diese beziehen sich auf die Sicherheit der Informationsverarbeitung insgesamt und, im Unterschied zum Datenschutz, auf alle, nicht nur auf personenbezogene Daten. Allerdings sind Vertraulichkeit, Verfügbarkeit und Integrität auch bei der Verarbeitung personenbezogener Daten unverzichtbar und Bestandteil der Gewährleistungsziele des Standard-Datenschutzmodells der DSK. In vielen Fällen sind Verstöße gegen die Gewährleistungsziele der Informationssicherheit auch Datenschutzverstöße.
Die Erfassung von Prozessen, Anwendungen, IT-Systemen und Räumen
sollte vollständig und nachvollziehbar dokumentiert werden. Mit Hilfe unseres eigenen ISMS-Tools werden Mitarbeitende und Teams wirkungsvoll unterstützt. Sofern wir als externe ISBs ihre Teams unterstützen, ist die Nutzung des Tools bereits inbegriffen. Die Erfassung und Dokumentation bildet den Ausgangspunkt für Risikoanalyse und Entscheidung über weitere Maßnahmen und Schritte. Mit unserem aus der Praxis entwickelten ISMS-Tool wird der Prozess der Erfassung der betrieblichen Assets bedeutend erleichtert und wirtschaftlich gestaltet.
Die Risikoanalyse
im Bereich der Informationssicherheit bezieht sich auf alle verarbeiteten Daten und Prozesse in der Organisation. Der Fokus liegt auf der Sicherheit der Organisation. Darin unterscheidet sich die Risikoanalyse im ISMS Prozess fundamental von der Risikoanalyse nach DSGVO, die den Fokus auf die betroffene Person legt.
Maßnahmen zur Risikosteuerung
Maßnahmen zur Risikobehandlung können
- die Eintrittswahrscheinlichkeit eines Schadens mindern
- einen möglichen Schaden in der Risikohöhe begrenzen oder
- einen Schaden, zum Beispiel durch den Abschluss einer Cyberversicherung, auf Dritte übertragen
Angemessenheit
Maßnahmen zur Risikominderung müssen angemessen und wirtschaftlich sein. Nicht angemessene oder unwirtschaftliche Maßnahmen können Unternehmen gefährden und mindern die Akzeptanz bei Geschäftsleitungen und Beschäftigten.
PDCA – Zyklus
Maßnahmen zur Risikominderung müssen in angemessenen Abständen evaluiert und ggf. einer Korrekturphase unterzogen werden. Der permanente technologische Wandel und die Änderung von Umweltbedingungen erfordern eine Kontrolle der Wirksamkeit.