Informationssicherheit und Management
2010-05-10
Die Forschungsgruppe Quality Engineering (QE) am Institut für Informatik beschäftigt sich im Projekt COSEMA www.cosema.org mit der Entwicklung eines Rahmenwerks und eines Konzeptes für Management von Informationssicherheit in Unternehmen.
Am 04. Mai 2010 fand dazu in der Tiroler Zukunftstiftung der COSEMA IT-Cluster statt. Unter dem Thema "Informationssicherheit als kooperative Aufgabe" präsentierte Dr. Margareth Stoll Beeindruckendes zum ganzheitlichen Informationsmanagement: rund 67% der Mängel bei Informationssicherheit gehen von menschlichem Versagen aus, 25% der Unternehmen haben überhaupt keinen Notfallplan.
Dies kann sehr weitreichende Schäden und Ausfälle zur Folge haben.
Mitarbeitersensibilisierung, ausführliche Dokumentation und eine kontinuierliche Sicherheitsanalyse - das sind wichtige Bestandteile des Risiko-Management-Prozesses in Unternehmen.
Näheres finden Sie unter
www.cosema.org
Tiroler Zukunftsstifung
Vortragsinhalt:
Aufgrund der Globalisierung, Technologisierung und der steigenden Kundenerwartungen wird der Wettbewerb immer härter und die Innovationszyklen kürzer. Somit wird Innovation und damit Daten-, Informations- und Wissensmanagement, zu einem wesentlichen Erfolgsfaktor für die nachhaltige Entwicklung und den langfristigen Unternehmenserfolg. Daten, Informationen und Wissen sind gleichzeitig aber immer größeren internen, externen und vorsätzlichen Bedrohungen, sowie menschlichen und technischen Fehlern ausgesetzt. Folglich müssen Vertraulichkeit und Integrität der Daten und die Verfügbarkeit der Leistungen besonders gesichert werden.
Hierfür setzen derzeit ca. 6.400 Organisationen weltweit ein zertifiziertes Informationssicherheitsmanagementsystem nach ISO 27001 ein. Dazu werden die Informationssicherheitsgrundsätze einschließlich der Anforderungen des Unternehmens hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität unter Berücksichtigung der Geschäftstätigkeit, Organisation, Unternehmensstrategie, der Kunden- und Interessentenanforderungen, gesetzlicher Bestimmungen, vertraglicher Anforderungen, der eingesetzten Technologien und der Vermögenswerte bestimmt. Daraus werden dann Sicherheitsziele und Strategien abgeleitet. Auch eine Risikoanalyse zur Bestimmung der vorhandenen Risiken und möglichen Auswirkungen wird durchgeführt. Unter Berücksichtigung der bereits umgesetzten Sicherheitsmaßnahmen werden eventuell weitere vorbeugende Maßnahmen geplant, um das Risiko auf ein für das jeweilige Unternehmen annehmbares Niveau zu reduzieren. Für das verbleibende Restrisiko wird ein Kontinuitätsplan erstellt, damit im Falle einer Katastrophe die vereinbarten Sicherheitsniveaus gehalten oder möglichst schnell wieder hergestellt werden können. Alle nötigen Sicherheitsmaßnahmen werden dokumentiert, den Mitarbeitern angewiesen und laufend anhand von Zielen und Messgrößen umgesetzt und überwacht. Periodisch werden die festgelegten Regelungen, Verfahren und Anweisungen auf Effektivität und Aktualität geprüft und eventuell aufgrund veränderter Rahmenbedingungen, aufgetretener Ereignisse, Störungen, Schwachstellen, Notfälle oder externer Informationen aktualisiert.
Durch die Einführung eines Informationssicherheitsmanagementsystems nach ISO 27001 werden die Unternehmenswerte entsprechend den jeweiligen individuellen Anforderungen systematisch geschützt, alle diesbezüglichen rechtlichen Bestimmungen eingehalten, das Kundenvertrauen gesteigert und der gute Ruf weiter ausgebaut.
|
