ISMS
IT-Sicherheitspolitik (-Strategie) und IT-Risiko Analyse
Als erstes muss die IT-Sicherheitspolitik festgelegt werden. Sie stellt grob die allgemeine Richtung der Informationssicherheit dar. Sie gilt als Leitbild wie die Verfassung in einem Staat. Damit bestimmt die Unternehmensleitung welchen Stellenwert sie in Sachen Sicherheit vertritt. Der Sicherheitsverantwortliche des Unternehmens und das Sicherheitskonzept unterstützen dabei die Geschäftsleitung in der Umsetzung der Strategie.
In der Sicherheitspolitik werden die generellen Ziele der Informationssicherheit und die Informationssicherheits-Organisation definiert. Somit bildet sie die Grundlage für das Sicherheitskonzept und für die operative Umsetzung der getroffenen Massnahmen. Ist die Informationssicherheit auch integraler Bestandteil Ihrer unternehmensweiten Sicherheitspolitik?
Das Sicherheits-Konzept
Die Sicherheitspolitik wird als Dokument verfasst und muss von der Unternehmensleitung genehmigt werden. Sie hat eine Gültigkeitsdauer von etwa 3 bis 5 Jahren, d.h. die darin enthaltenen Regeln und Anweisungen dürfen nicht zu detailliert ausgeführt werden. Bei grösseren Veränderungen im Unternehmen muss das Dokument überprüft und ggf. angepasst werden.
▪ Was will ich schützen?
▪ Wogegen soll ich mich schützen?
▪ Wie kann ich diesen Schutz erzielen?
▪ Kann ich mir diesen Schutz leisten?
Der Detailierungsgrad der Sicherheitsmassnahmen wird im Sicherheitskonzept oder Sicherheitshandbuch entsprechend genauer beschrieben. Richtlinien und Weisungen sind Bestandteile des Sicherheitskonzeptes bzw. des Sicherheitshandbuches (gemäss ISO 27002) und werden als Anhänge definiert.
- IT-Security- und Risk Management nach ISO 27001/ISO 27005
- Definieren und Umsetzen von Sicherheitskonzepten, Richtlinien und Standards
- Spezifizieren und Umsetzen von technischen und organisatorischen Prozessen
- Unterstützung in rechtlichen Aspekten der IT-Security und rechtsgültigen Archivierung
- Evaluation von Produkten und Komponenten
- Durchführen von Reviews und Audits
