Informationssicherheit

Ziel des IT-Sicherheitsmanagements

• Vertraulichkeit der Daten gewährleisten

• Datenverfügbarkeit garantieren

• Integrität der Daten sicherstellen (Richtigkeit, Vollständigkeit)

• Sicherung aller Geschäftsprozesse durch eine etablierte Sicherheitsorganisation

• Höhere Sicherheit und Transparenz der IT-Geschäftsprozesse

• Service Level Agreements und Business Continuity Management

• Sicherheitsnachweis der Organisation gegenüber dem Gesetzgeber, Kunden, Partnern, Versicherungen und Lieferanten

Aspekte der Informationssicherheit

• Sicherheitsmanagement

• Konzeption und Vorgehensweise

• Organisation und Personal

• Betrieb

• Infrastruktur

• Netze und Kommunikation

• IT-Systeme

• Anwendungem

• Industrielle-IT

• Detektion und Reaktion

IT-Risikomanagement

Mögliche Risiken:

• Gezielte Angriffe von Personen (Hacker, Spione)

• Elementarereignisse ( Feuer, Erdbeben, Wasserschäden, Blitzschlag
  Fahrlässige Handhabung u. Fehlbedienungen

• Verstöße gegen Gesetze oder Verträge (Vertraulichkeitserklärung)

• Schädigung von Personen (Ansehen, ...) 

Risikoeinschätzung

• Risikoanalyse + Risikobewertung

Mögliche Schadenskategorien

• Verstoß gegen Gesetze, Vorschriften oder Verträge

• Beeinträchtigung des Lebens

• Beeinträchtigung der Aufgabenerfüllung

• Andere negative Auswirkungen

• Finanzielle Folgen

Mögliches Schadensausmaß und Schutzbedarf

• Sehr hoch → katastrophal

• Hoch → beträchtliches Ausmaß

• Klein → tolerabel – geringfügig

Mögliche Maßnahmen nach Standard

• Leitlinien u. Regelwerke

• Vertragliche Gestaltung

• Prozeduren / Praktiken

• Organisationsstrukturen

• Administration / infrastrukturelle technische Anforderungen

Handhabung von Risiken

• Akzeptieren der Risiken

• Verlagerung der Geschäftsbereiche

• Outsourcing der risikoreichen Bereiche

• Versicherung gegen Risiken

• Maßnahmen ergreifen, um das Risiko zu minimieren