Hintergrund
Die Verantwortung für IT-Sicherheit wird häufig auf den IT-Leiter oder Administrator eines Unternehmens übertragen. Seine primären Aufgaben sind die Sicherstellung des IT-Betriebes.
Die Erhaltung der Sicherheit des Unternehmens kann über das Betätigungsfeld des IT-Leiters weit hinaus gehen. Sie erfordert eine Sensibilisierung aller Mitarbeiter und insbesondere im Management, da die Unternehmens-Risiken direkt von der Vertraulichkeit, Verfügbarkeit und Integrität der benutzten Daten abhängen.
Ihre Unternehmensstrategie definiert Ihre Sicherheitsstrategie, denn der Erfolg Ihrer Dienstleistung und Produktion hängen von der Sicherheit der IT-Systeme ab. Veränderungen an IT-Systemen müssen mit dem Vertrieb, dem Service und der Produktion abgesprochen werden. Kurz: IT-Sicherheits-Prozesse müssen in Unternehmens-Prozesse integriert sein.
Praxis
Der Aufbau eines Security-Office bedarf erfahrenes Personal. Erfahrungen in vielen Branchen und Unternehmen wurden in Sicherheits-Standards wie dem ISO/IEC 27001 fest gehalten und können daher auch für Sie genutzt werden. Das Bundesamt für Sicherheit in der Informationstechnik bietet gleichermaßen eine sehr gute Grundlage für das Installieren und Aufrechthalten eines Sicherheits-Managements – auch ISMS genannt. Unser CISO-Office basiert auf einem Informations-Sicherheits-Management-Kreislauf und bietet die nötigen Schnittstellen zur Integration in Ihr Unternehmen.
Das Outsourcing dieser Aufgabe an unser CISO-Office erleichtert es Ihrer IT-Leitung sich auf die Betriebsthemen zu konzentrieren.
Ein ISMS Kreislauf findet auf alle sicherheitsrelevanten IT-Systeme, Prozesse, Technik und Personal Anwendung und beschreibt die folgenden Phasen:
- (P)lan: Maßnahmen Planen um den Betrieb sicher zu stellen
- (D)o: Beschaffen und Einbauen von IT-Sicherheitsmaßnahmen
- (C)heck: Überprüfen der Maßnahmen auf Ihre Wirksamkeit.
- (A)ct: Verbessern bei Abweichungen
Dieses PDCA Qualitäts-Management-Konzept wurde vor mehr als 60 Jahren durch den Management Consultant William Edwards Deming entwickelt.
Dieser sogenannte Deming-Cycle (PDCA, Plan-Do-Check-Act) ist auch im aktuellen ISO 27001:2013 wieder zu finden. In Clause 4 (das Unternehmen), Clause 5 (Führungsverantwortung), Clause 6 (Planung) und Clause 7 (Support) wird auf die Planungsphase Bezug genommen. Clause 8 (Operations) stellt die „Do“ Phase dar. Clause 9 (Messung der Performance) ist die „Check“ Phase und Clause 10 (Verbessern) stellt die „Act“ Phase dar.
Jetzt Starten!
Das CISO-Office in Ihr Unternehmen integrieren!
Lassen Sie uns Ihren Schutzbedarf ermitteln (entweder nach BSI Grundschutz oder qualitativer Risikoanalyse).