Bundesamt für Sicherheit in der Informationstechnik

B 1.0 Sicherheitsmanagement

Logo Sicherheitsmanagement

Beschreibung

Die sichere Verarbeitung von Informationen ist heutzutage für nahezu alle Unternehmen und Behörden von existenzieller Bedeutung. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. Für den Schutz der Informationen reicht es nicht aus, nur technische Sicherheitslösungen einzusetzen. Ein angemessenes Sicherheitsniveau kann nur durch geplantes und organisiertes Vorgehen aller Beteiligten erreicht und aufrechterhalten werden. Voraussetzung für die sinnvolle Umsetzung und Erfolgskontrolle von Sicherheitsmaßnahmen ist eine systematische Vorgehensweise. Diese Planungs-, Lenkungs- und Kontrollaufgabe wird als Informationssicherheitsmanagement oder auch kurz als IS-Management bezeichnet.

Der Begriff Informationssicherheit ist umfassender als der Begriff IT -Sicherheit und wird aufgrund dessen zunehmend verwendet. Da aber in der Literatur noch überwiegend der Begriff "IT-Sicherheit" zu finden ist, wird er auch in dieser sowie in anderen Publikationen des IT-Grundschutzes weiterhin verwendet, allerdings werden die Texte sukzessive stärker auf die Betrachtung von Informationssicherheit ausgerichtet.

Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen einer jeden Institution eingebettet werden. Daher ist es praktisch nicht möglich, eine für jede Institution unmittelbar anwendbare Organisationsstruktur für das Sicherheitsmanagement anzugeben. Vielmehr werden häufig Anpassungen an spezifische Gegebenheiten erforderlich sein.

Dieser Baustein soll aufzeigen, wie ein funktionierendes Informationssicherheitsmanagement eingerichtet und im laufenden Betrieb weiterentwickelt werden kann. Er beschreibt dazu sinnvolle Schritte eines systematischen Sicherheitsprozesses und gibt Anleitungen zur Erstellung eines umfassenden Sicherheitskonzeptes. Der Baustein baut auf dem BSI -Standard 100-1 Managementsysteme für Informationssicherheit und BSI-Standard 100-2 Vorgehensweise nach IT-Grundschutz auf und fasst die wichtigsten Aspekte zum Sicherheitsmanagement hieraus zusammen.

Gefährdungslage

Gefährdungen im Umfeld des Sicherheitsmanagements können vielfältiger Natur sein. Stellvertretend für diese Vielzahl der Gefährdungen werden in diesem Baustein die folgenden typischen Gefährdungen betrachtet:

Organisatorische Mängel

G 2.66 Unzureichendes Sicherheitsmanagement
G 2.105 Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen
G 2.106 Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen
G 2.107 Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Im Rahmen des Sicherheitsmanagements sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über den Aufbau geeigneter Organisationsstrukturen bis hin zur regelmäßigen Revision. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt. Einer der Grundpfeiler zur Erreichung eines angemessenen Sicherheitsniveaus ist, dass die Leitungsebene hinter den Sicherheitszielen steht und sich ihrer Verantwortung für Informationssicherheit bewusst ist. Die Leitungsebene muss den Sicherheitsprozess initiieren, steuern und kontrollieren, damit dieser in der Institution auch in allen Bereichen umgesetzt wird (siehe M 2.336 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene ).

Weiterhin muss ein kontinuierlicher Sicherheitsprozess etabliert und eine für die jeweilige Institution passende Sicherheitsstrategie festgelegt werden (siehe M 2.335 Festlegung der Sicherheitsziele und -strategie ). Die Leitungsebene muss hierfür wie für alle weiteren Sicherheitsfragen eine Person als Hauptverantwortlichen benennen. Diese ist dafür zuständig, eine geeignete Organisationsstruktur für Informationssicherheit aufzubauen und aufrechtzuerhalten (siehe M 2.193 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit ). Als eine der ersten Aktionen sollte eine Leitlinie zur Informationssicherheit erstellt werden (siehe M 2.192 Erstellung einer Leitlinie zur Informationssicherheit ).

Informationssicherheit muss in allen Bereichen der Institution gelebt werden (siehe M 2.337 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse ). Dazu gehört neben der Erarbeitung eines Sicherheitskonzepts (siehe M 2.195 Erstellung eines Sicherheitskonzepts ) auch die Integration der Mitarbeiter in den Sicherheitsprozess (siehe M 2.197 Integration der Mitarbeiter in den Sicherheitsprozess ) sowie die Erstellung von zielgruppengerechten Sicherheitsrichtlinien (siehe M 2.338 Erstellung von zielgruppengerechten Sicherheitsrichtlinien ).

Nachfolgend wird das Maßnahmenbündel für den Bereich "Sicherheitsmanagement" vorgestellt.

Planung und Konzeption

M 2.192 (A) Erstellung einer Leitlinie zur Informationssicherheit
M 2.335 (A) Festlegung der Sicherheitsziele und -strategie
M 2.336 (A) Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene

Umsetzung

M 2.193 (A) Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit
M 2.195 (A) Erstellung eines Sicherheitskonzepts
M 2.197 (A) Integration der Mitarbeiter in den Sicherheitsprozess
M 2.337 (A) Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse
M 2.338 (Z) Erstellung von zielgruppengerechten Sicherheitsrichtlinien
M 2.339 (Z) Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit
M 2.475 (A) Vertragsgestaltung bei Bestellung eines externen IT-Sicherheitsbeauftragten

Betrieb

M 2.199 (A) Aufrechterhaltung der Informationssicherheit
M 2.200 (C) Management-Berichte zur Informationssicherheit
M 2.201 (C) Dokumentation des Sicherheitsprozesses

Notfallvorsorge

M 6.16 (Z) Abschließen von Versicherungen

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK