FRÜHLINGSRABATT
Erhalten Sie 30% Rabatt auf Toolkits, Kursprüfungen und Bücher.
Zeitlich begrenztes Angebot – es endet am 26. Mai 2022
Verwenden Sie den Promo-Code:
SPRING30
  • (0)
    ISO-27001-ISO-22301-blog

    ISO 27001 & ISO 22301 Blog

    Informationssicherheit oder IT-Sicherheit?


    Man würde denken, dass diese beiden Begriffe Synonyme sind – dreht es sich bei Informationssicherheit schließlich nicht immer um Computer?

    Nicht wirklich. Der grundlegende Punkt ist, dass Sie vielleicht perfekte IT-Sicherheitsmaßnahmen eingerichtet haben, aber nur eine böswillige Handlung beispielsweise durch den Administrator legt das gesamte IT-System lahm. Dieses Risiko hat nichts mit Computern zu tun, sondern mit Menschen, Prozessen, Überwachung usw.

    Außerdem könnten wichtige Information möglicherweise nicht einmal in digitaler Form vorliegen, sondern nur ausgedruckt – beispielsweise ein wichtiger Vertrag, der mit dem größten Kunden abgeschlossen wurde, persönliche Notizen des Geschäftsführers oder in einem Safe gelagerte ausgedruckte Administrator-Passwörter.

    Deshalb pflege ich meinen Kunden gerne zu sagen – IT-Sicherheit entspricht 50 % der Informationssicherheit, weil Informationssicherheit immer auch physische Sicherheit, Personalmanagement, Rechtsschutz, Organisation, Prozesse usw. bedeutet. Der Zweck der Informationssicherheit besteht darin, ein System aufzubauen, dass sämtliche mögliche Risiken für die Informationssicherheit (IT-bezogen oder nicht IT-bezogen) berücksichtigt und umfassende Maßnahmen umsetzt, um alle Arten unzulässiger Risiken zu reduzieren.

    Diese integrierte Herangehensweise für die Sicherheit von Informationen wird in ISO 27001 am besten definiert, der international führenden Norm für Informationssicherheits-Management. Kurzum ist eine Risikoeinschätzung für alle Vermögenswerte des Unternehmens erforderlich – einschließlich Hardware, Software, Dokumentation, Mitarbeiter, Lieferanten, Partner usw. Für eine Verringerung dieser Risiken sind entsprechende Maßnahmen auszuwählen.

    ISO 27001 bietet 133 Maßnahmen in ihrem Anhang A. Ich habe diese Maßnahmen kurz analysiert und folgende Ergebnisse erhalten:

    • IT-bezogene Maßnahmen: 46 %
    • Maßnahmen im Zusammenhang mit Organisation / Dokumentation: 30%
    • Physische Sicherheitsmaßnahmen: 9%
    • Rechtsschutz: 6%
    • Maßnahmen im Zusammenhang mit Beziehungen zu Lieferanten und Käufern: 5%
    • Organisationsmaßnahmen im Personalwesen: 4%

    Was bedeutet dies alles für die Informationssicherheit und Umsetzung der ISO 27001? Diese Art Projekt sollte nicht als IT-Projekt angesehen werden, denn als solches wäre es unwahrscheinlich, dass alle Teile der Organisation sich daran beteiligen möchten. Es sollte als unternehmensweites Projekt gesehen werden, an dem relevante Mitarbeiter aus allen Geschäftsbereichen teilnehmen sollten – leitendes Management, IT-Mitarbeiter, Rechtsexperten, Personalmanager, Sicherheitspersonal, Geschäftsbereiche des Unternehmens usw. Ohne eine solche Herangehensweise werden sie an der IT-Sicherheit arbeiten, ohne sich damit vor den größten Risiken zu schützen.

    Weitere Informationen zur Informationssicherheit finden Sie in diesem kostenlosen Online-Training ISO 27001 Foundations Course.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Connect with Dejan: