Informationssicherheit

IT-Sicherheit und IT-Risikomanagement gehören zu den wichtigsten Aufgaben der IT-Abteilung, jedoch zugleich nicht zwingend zu den alltäglichen Aktivitäten. Auf der anderen Seite werden solche Informationen und Dokumente von vielen unterschiedlichen Seiten immer wieder eingefordert. Im Sicherheitsbereich ist oftmals eine gewisse Form von Formalismus notwendig, damit kann vermieden werden, dass es Lücken in den Aufzeichnungen bzw. Unterlagen gibt. Daher ist für die Etablierung eines kontinuierlichen Verbesserungsprozesses (KVP) klar strukturierte und detailliert dokumentierte Verfahrensanweisungen nötig. Aus unserer Erfahrung konnten wir entsprechende Vorgehensmodelle und Templates entwickeln, die die Erstellung eines IT-Controllings für die IT-Abteilung vereinfachen und wenig Zeit in Anspruch nehmen und somit die Gefahr eines bürokratischen Overheads vermeiden.

Die Informationssicherheit in einem Unternehmen kann in unterschiedliche Reifegrade eingeteilt werden, um von einem Grad zum nächsthöheren zu kommen, müssen Maßnahmen definiert und durchgeführt werden. Die Reifegrade lassen sich unterschiedlichen Themengebieten, wie Strukturelle Basisthemen, ITIL Prozesse, Richtlinien oder Datennetze, zuordnen. Eine weitere wichtige Aufgabe des IDMS ist das IT-Risikomanagement und die Identifikation von Risiken, die wiederum in einer Risikomatrix übersichtlich dargestellt werden können.

Alle Prozesse des IDMS werden dokumentiert und stehen damit auch in einem engem Zusammenhang, so werden im Risikomanagement Strukturen zur Erfassung und Bewertung von IT-Risiken und die Entwicklung von Gegenmaßnahmen abgebildet. Das IDMS wiederum regelt die Verfahren, damit Informationssicherheit dauerhaft gewährleistet, gesteuert, kontrolliert und laufend verbessert werden kann. Im IKS (Internes Kontrollsystem) werden die Prozesskontrollen abgebildet, um die Qualität des IDMS dauerhaft sicherstellen.

Bei der Erstellung eines IDMS bzw. IT-Risikomanagements werden im ersten Schritt eine Definition und Bewertung der IT-Sicherheitsthemen vorgenommen. Auf Basis des deutschen Grundschutzkataloges werden die IT-Risiken bewertet und ein IDMS, IT-Risikomanagement erstellt. Weitere Projektschritte können die Erstellung einer Maßnahmendetailplanung, einer Endberichterstellung mit Scope für das nächste Jahr und Richtlinien für die erforderlichen Themenbereiche.

Da uns bewusst ist, dass solche Tätigkeiten nicht zum alltäglichen Geschäft einer IT-Abteilung gehört, haben wir im Laufe der Jahre einen Prozess entwickelt, wobei die Ressourcen der IT in überschaubarem Maß gebunden werden. Unsere Herangehensweise richtet sich dabei ganz nach den Anforderungen und Strukturen der IT des Unternehmens. So lässt sich unsere Herangehensweise auch in unterschiedlichen ITSM-Tools und/oder Dokumentenverwaltungstools anwenden bzw. umsetzen