Informationssicherheitsmanagement (IS-Management)

Copyright © Shutterstock / Rawpixel.com

Was ist das Informationssicherheitsmanagement (IS-Management)?

Mit dem Begriff Informationssicherheitsmanagement (IS-Management) werden alle Maßnahmen und Prozesse beschrieben, die in einem Unternehmen notwendig sind, um die Sicherheit von Daten und Informationen zu gewährleisten. Der Begriff IS-Management ist umfassender als die ältere Bezeichnung IT-Sicherheitsmanagment. Während das IT-Sicherheitsmanagement vor allem auf technische Sicherheitsmaßnahmen abstellt, umfasst das IS-Management neben den technischen Aspekten auch konzeptionelle und menschliche Faktoren.

Informationssicherheitsmanagement: Eine große Herausforderung der Gegenwart

Nachrichten über Hackerangriffe und Datenklau haben in der letzten Zeit eine breite Öffentlichkeit erreicht. Nicht zuletzt war es die Verunsicherung, die diese Meldungen in der Bevölkerung hervorgerufen haben, die zu einer Umdenken in den Chefetagen vieler Unternehmen geführt hat. Galt Informations- und Datensicherheit in der Vergangenheit als randständiges Spezialthema, mit dem sich nur wenige Experten befassen, rückte es nun in den Mittelpunkt der Aufmerksamkeit.

Die zunehmende Drohung hat das Thema Informationssicherheitsmanagement auf die Agenda vieler Führungsetagen gesetzt. Der TÜV und das Bundesamt für Sicherheit in der Informationstechnik haben umfangreiches Material und Standards aufgearbeitet, an denen sich Unternehmen orientieren können, um das Informationssicherheitsmanagement zu implementieren.

Informationssicherheitsmanagement (IS-Management) ist nicht nur eine Frage der Technik

Um die Sicherheit von Informationen und Daten eines Unternehmens sicherzustellen, muss ein umfangreiches Maßnahmenprogramm seitens des Managements ergriffen werden, dass mehrere Aspekte gleichwertig berücksichtigt.

1. Risikoanalyse

Um ein verlässliches Informationssicherheitsmanagement aufzubauen, ist zunächst eine Untersuchung der vorhandenen Strukturen unverzichtbar. Im Rahmen der Analyse können Schwachstellen aufgezeigt werden – zugleich lässt sich das Risiko eines Hackerangriffs bewerten. Auf dieser Grundlage kann eine Folgenabschätzung vorgenommen werden, die wiederum die Notwendigkeit einzelner Maßnahmen darstellt.

2. Sicherheit in der Informationstechnologie

Um die Informationssicherheit zu gewährleisten, ist die technische Absicherung der Informationstechnologie unabdingbar. Firewall und Virenschutz sollten daher für jeden Computer, der im Unternehmen zum Einsatz kommt, selbstverständlich sein. Insbesondere in größeren Unternehmen sollten sensible Daten nur in abgeschirmten Intranet verfügbar sein, dass nicht mit dem öffentlichen Internet verbunden sind. Sind Schnittstellen zum Internet und anderen Netzwerken unverzichtbar, müssen diese Verbindungen streng überwacht werden.

3. Sensibilisierung der Mitarbeiter

Viele Hackerangriffe werden heute durch sogenannte Phishingsmails oder Trojaner durchgeführt, die durch infizierte Dokumente auf den Computer oder in das Netzwerk gelangen. Integraler Bestandteil jedes Informationssicherheitsmanagement ist daher die Schulung der Mitarbeiter und die Herausgabe von Richtlinien, welche Emails und Dokumente in welcher Weise geöffnet werden dürfen.

4. Optimierung der Geschäftsprozesse im Unternehmen

Letztendlich sind in einem umfangreichen Ansatz alle Geschäftsprozesse hinsichtlich der Datensicherheit zu überprüfen. Das kann auch beinhalten, die Erhebung grundsätzlich von Daten auf ein Minimum zu beschränken.

FAQ