Dejan Kosutic Man würde denken, dass diese beiden Begriffe Synonyme sind – dreht es sich bei Informationssicherheit schließlich nicht immer um Computer?
Nicht wirklich. Der grundlegende Punkt ist, dass Sie vielleicht perfekte IT-Sicherheitsmaßnahmen eingerichtet haben, aber nur eine böswillige Handlung beispielsweise durch den Administrator legt das gesamte IT-System lahm. Dieses Risiko hat nichts mit Computern zu tun, sondern mit Menschen, Prozessen, Überwachung usw.
Außerdem könnten wichtige Information möglicherweise nicht einmal in digitaler Form vorliegen, sondern nur ausgedruckt – beispielsweise ein wichtiger Vertrag, der mit dem größten Kunden abgeschlossen wurde, persönliche Notizen des Geschäftsführers oder in einem Safe gelagerte ausgedruckte Administrator-Passwörter.
Deshalb pflege ich meinen Kunden gerne zu sagen – IT-Sicherheit entspricht 50 % der Informationssicherheit, weil Informationssicherheit immer auch physische Sicherheit, Personalmanagement, Rechtsschutz, Organisation, Prozesse usw. bedeutet. Der Zweck der Informationssicherheit besteht darin, ein System aufzubauen, dass sämtliche mögliche Risiken für die Informationssicherheit (IT-bezogen oder nicht IT-bezogen) berücksichtigt und umfassende Maßnahmen umsetzt, um alle Arten unzulässiger Risiken zu reduzieren.
Diese integrierte Herangehensweise für die Sicherheit von Informationen wird in ISO 27001 am besten definiert, der international führenden Norm für Informationssicherheits-Management. Kurzum ist eine Risikoeinschätzung für alle Vermögenswerte des Unternehmens erforderlich – einschließlich Hardware, Software, Dokumentation, Mitarbeiter, Lieferanten, Partner usw. Für eine Verringerung dieser Risiken sind entsprechende Maßnahmen auszuwählen.
ISO 27001 bietet 133 Maßnahmen in ihrem Anhang A. Ich habe diese Maßnahmen kurz analysiert und folgende Ergebnisse erhalten:
- IT-bezogene Maßnahmen: 46 %
- Maßnahmen im Zusammenhang mit Organisation / Dokumentation: 30%
- Physische Sicherheitsmaßnahmen: 9%
- Rechtsschutz: 6%
- Maßnahmen im Zusammenhang mit Beziehungen zu Lieferanten und Käufern: 5%
- Organisationsmaßnahmen im Personalwesen: 4%
Was bedeutet dies alles für die Informationssicherheit und Umsetzung der ISO 27001? Diese Art Projekt sollte nicht als IT-Projekt angesehen werden, denn als solches wäre es unwahrscheinlich, dass alle Teile der Organisation sich daran beteiligen möchten. Es sollte als unternehmensweites Projekt gesehen werden, an dem relevante Mitarbeiter aus allen Geschäftsbereichen teilnehmen sollten – leitendes Management, IT-Mitarbeiter, Rechtsexperten, Personalmanager, Sicherheitspersonal, Geschäftsbereiche des Unternehmens usw. Ohne eine solche Herangehensweise werden sie an der IT-Sicherheit arbeiten, ohne sich damit vor den größten Risiken zu schützen.
Weitere Informationen zur Informationssicherheit finden Sie in diesem kostenlosen Online-Training ISO 27001 Foundations Course.
