The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

Informationssicherheit oder IT-Sicherheit?

Man würde denken, dass diese beiden Begriffe Synonyme sind – dreht es sich bei Informationssicherheit schließlich nicht immer um Computer?

Nicht wirklich. Der grundlegende Punkt ist, dass Sie vielleicht perfekte IT-Sicherheitsmaßnahmen eingerichtet haben, aber nur eine böswillige Handlung beispielsweise durch den Administrator legt das gesamte IT-System lahm. Dieses Risiko hat nichts mit Computern zu tun, sondern mit Menschen, Prozessen, Überwachung usw.

Außerdem könnten wichtige Information möglicherweise nicht einmal in digitaler Form vorliegen, sondern nur ausgedruckt – beispielsweise ein wichtiger Vertrag, der mit dem größten Kunden abgeschlossen wurde, persönliche Notizen des Geschäftsführers oder in einem Safe gelagerte ausgedruckte Administrator-Passwörter.

Deshalb pflege ich meinen Kunden gerne zu sagen – IT-Sicherheit entspricht 50 % der Informationssicherheit, weil Informationssicherheit immer auch physische Sicherheit, Personalmanagement, Rechtsschutz, Organisation, Prozesse usw. bedeutet. Der Zweck der Informationssicherheit besteht darin, ein System aufzubauen, dass sämtliche mögliche Risiken für die Informationssicherheit (IT-bezogen oder nicht IT-bezogen) berücksichtigt und umfassende Maßnahmen umsetzt, um alle Arten unzulässiger Risiken zu reduzieren.

Diese integrierte Herangehensweise für die Sicherheit von Informationen wird in ISO 27001 am besten definiert, der international führenden Norm für Informationssicherheits-Management. Kurzum ist eine Risikoeinschätzung für alle Vermögenswerte des Unternehmens erforderlich – einschließlich Hardware, Software, Dokumentation, Mitarbeiter, Lieferanten, Partner usw. Für eine Verringerung dieser Risiken sind entsprechende Maßnahmen auszuwählen.

ISO 27001 bietet 133 Maßnahmen in ihrem Anhang A. Ich habe diese Maßnahmen kurz analysiert und folgende Ergebnisse erhalten:

  • IT-bezogene Maßnahmen: 46 %
  • Maßnahmen im Zusammenhang mit Organisation / Dokumentation: 30%
  • Physische Sicherheitsmaßnahmen: 9%
  • Rechtsschutz: 6%
  • Maßnahmen im Zusammenhang mit Beziehungen zu Lieferanten und Käufern: 5%
  • Organisationsmaßnahmen im Personalwesen: 4%

Was bedeutet dies alles für die Informationssicherheit und Umsetzung der ISO 27001? Diese Art Projekt sollte nicht als IT-Projekt angesehen werden, denn als solches wäre es unwahrscheinlich, dass alle Teile der Organisation sich daran beteiligen möchten. Es sollte als unternehmensweites Projekt gesehen werden, an dem relevante Mitarbeiter aus allen Geschäftsbereichen teilnehmen sollten – leitendes Management, IT-Mitarbeiter, Rechtsexperten, Personalmanager, Sicherheitspersonal, Geschäftsbereiche des Unternehmens usw. Ohne eine solche Herangehensweise werden sie an der IT-Sicherheit arbeiten, ohne sich damit vor den größten Risiken zu schützen.

Sie können sich auch unser Webinar ISO 27001 Foundations Part 3: Annex A overview ansehen.

Wenn Ihnen dieser Artikel gefallen hat, können Sie Updates abonnieren

Weiten Sie Ihre Kenntnisse mit unseren kostenlosen Ressourcen zu den Normen ISO 27001 und ISO 22301 aus.

Sie können sich jederzeit abmelden.

Weitere Informationen darüber, welche persönlichen Daten wir sammeln, warum wir diese benötigen, was wir mit ihnen machen, wie lange wir sie aufbewahren und welche Rechte Sie haben, finden Sie in dieser Datenschutzerklärung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

UNSERE KUNDEN

UNSERE PARTNER

  • Advisera ist ein von Exemplar Global zertifizierter TPECS-Anbieter für die IS, QM, EM, TL und AU Kompetenzeinheiten.
  • ITIL® ist ein eingetragenes Warenzeichen von AXELOS Limited. Wird unter der Lizenz von AXELOS Limited verwendet. Alle Rechte vorbehalten.
  • DNV GL Business Assurance ist einer der führenden Anbieter von akkreditierten Managementsystemzertifizierungen.