Bundesamt für Sicherheit in der Informationstechnik

M 2.335 Festlegung der Sicherheitsziele und -strategie

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Informationssicherheit ist ein wichtiger Erfolgsfaktor, um die Ziele und Aufgaben eines Unternehmens bzw. einer Behörde erfüllen zu können. Informationssicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der auch als solcher in allen Geschäftsprozessen und den Köpfen aller Mitarbeiter verankert werden muss. Der Sicherheitsprozess muss durch die Behörden- bzw. Unternehmensleitung initiiert und etabliert werden. Zunächst müssen angemessene Sicherheitsziele sowie eine Strategie für Informationssicherheit festgelegt werden. Neben den strategischen Leitaussagen müssen konzeptionelle Vorgaben erarbeitet und die organisatorischen Rahmenbedingungen geschaffen werden, um den ordnungsgemäßen und sicheren Umgang mit Informationen innerhalb aller Geschäftsprozesse des Unternehmens oder der Behörde zu ermöglichen.

Die Sicherheitsziele sollten zu Beginn jedes Sicherheitsprozesses sorgfältig bestimmt werden. Anderenfalls besteht die Gefahr, dass Sicherheitskonzepte erarbeitet werden, die nicht den Informationssicherheitsanforderungen der Behörde bzw. des Unternehmens entsprechen. Die methodische Planung der Informationssicherheit hilft, die grundlegenden Ziele und Aufgaben eines Unternehmens bzw. einer Behörde zu erreichen. Die Grundlage für die Definition der Sicherheitsziele bilden daher die generellen Ziele der Institution sowie die wesentlichen Geschäftsprozesse und Informationen. Angemessene und erreichbare Sicherheitsziele sind Voraussetzung für alle weiteren Schritte im Sicherheitsprozess. Die Ziele müssen realistisch, praxisorientiert, überzeugend und verständlich sein. Hieraus lässt sich dann im Rahmen der Sicherheitskonzeption ableiten, welchen Schutzbedarf die einzelnen Informationen, Geschäftsprozesse, Anwendungen, IT-Komponenten und Netze haben und welche Sicherheitsmaßnahmen daher umzusetzen sind.

Bei der Umsetzung von Sicherheitsmaßnahmen muss in der Regel immer ein Kompromiss zwischen Kosten und Aufwand gefunden werden. Es sollte daher transparent sein, welche Informationen und Geschäftsprozesse zur Aufgabenerfüllung beitragen und welcher Wert diesen beigemessen wird, um daraus angemessene Sicherheitsziele zu formulieren.

Die Sicherheitsziele müssen von der Unternehmens- oder Behördenleitung getragen und verantwortet werden. Sie sollten vom Informationssicherheitsmanagement-Team unter Beteiligung der Leitungsebene erarbeitet und dokumentiert werden. Je nach Organisationsstruktur ist es ratsam, die Leiter von größeren Geschäftsbereichen (z. B. Abteilungsleiter oder Bereichsleiter) in die Beratungen einzubeziehen.

Eine detaillierte Beschreibung, wie und in welcher Beschreibungstiefe Sicherheitsstrategie und -ziele festgehalten werden sollten, findet sich im BSI -Standard 100-2 Vorgehensweise nach IT-Grundschutz.

Sicherheitsziele und -strategie sollten regelmäßig daraufhin beleuchtet werden, ob sie noch aktuell und angemessen sind. Insbesondere bei Änderungen von Rahmenbedingungen, von Geschäftsprozessen oder des IT-Umfeldes müssen die Sicherheitsziele und -strategie überprüft und eventuell angepasst werden.

Der Sicherheitsprozess kann nur dann langfristig erfolgreich sein, wenn die Wirksamkeit und Effizienz der Sicherheitsstrategie regelmäßig von der Leitungsebene überprüft wird. Die daraus resultierenden Verbesserungen gehen in die Anpassung des Sicherheitsprozesses ein.

Prüffragen:

  • Sind die Sicherheitsstrategie und -ziele von der Behörden- bzw. Unternehmensleitung unterschrieben und werden von ihr getragen und verantwortet?

  • Sind Sicherheitsziele und -strategie aktuell und angemessen?

  • Ist ein adäquater Sicherheitsprozess etabliert?

Stand: 13. EL Stand 2013