Bundesamt für Sicherheit in der Informationstechnik

Kapitel 2: Informationssicherheitsmanagement

2.1 Überblick

Aufgaben und Aktivitäten, mit denen eine Organisation ein angemessenes Sicherheitsniveau erreichen und erhalten will, gehören zum Informationssicherheitsmanagement, kurz IS-Management. Zuständig sind dafür Verantwortliche für die Informationssicherheit und für den IT-Betrieb sowie von diesen intern oder extern Beauftragte. Sie tragen zu dieser Aufgabe bei, indem sie organisatorische Grundlagen legen sowie Sicherheitsmaßnahmen planen, umsetzen und ihre Wirksamkeit kontrollieren.

Welche Verantwortlichkeiten und welche Prozesse haben sich dafür bewährt? Welche Aufgaben und Ergebnisse sind für Informationssicherheitsmanagement wichtig? Wie kommen die Verantwortlichen zu einer Strategie, zu Zielen, zu einem praktikablen Konzept? Wie können die umgesetzten Konzepte weiterentwickelt werden? Grundsätzliche Antworten zu diesen Fragestellungen finden Sie im BSI-Standard 100-1 Managementsysteme für Informationssicherheit (ISMS).

Die dort genannten Empfehlungen werden im BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise (ISMS) konkretisiert, wo im Einzelnen die folgenden Schritte des Sicherheitsprozesses beschrieben werden:

Steuerungsaufgaben im IT-Sicherheitsprozess

  • Initiierung des Sicherheitsprozesses, für den die Leitungsebene die Verantwortung übernehmen, Ziele und Strategien formulieren, organisatorische Strukturen aufbauen und ausreichende Ressourcen bereitstellen sowie in den sie die Mitarbeiter einbinden muss,
  • Entwicklung eines Sicherheitskonzepts gemäß IT-Grundschutz-Vorgehensweise,
  • Umsetzung durch Beseitigung vorhandener Schwachstellen und Einführung der im Konzept vorgesehenen Maßnahmen,
  • Aufrechterhaltung und kontinuierliche Verbesserung durch Prüfung von Wirksamkeit, Angemessenheit und Aktualität der vorhandenen Konzepte und eingeführten Maßnahmen.

In diesem Kapitel werden Ihnen die folgenden wichtigen Maßnahmen zur systematischen Steuerung eines Sicherheitsprozesses erläutert:

  • der Aufbau einer angemessenen Organisationsstruktur für Informationssicherheit,
  • die Formulierung der grundsätzlichen Vorgaben in einer Leitlinie zur Informationssicherheit und
  • die Entwicklung dazu passender Sicherheitskonzepte.