Einführung - IT- & Informationssicherheit

Ziel des IT-Sicherheitsmanagements

• Vertraulichkeit der Daten gewährleisten
  
• Datenverfügbarkeit garantieren
  
• Integrität der Daten sicherstellen (Richtigkeit, Vollständigkeit)
  
• Sicherung aller Geschäftsprozesse durch eine etablierte Sicherheitsorganisation
  
• Höhere Sicherheit und Transparenz der IT-Geschäftsprozesse
  
• Service Level Agreements und Business Continuity Management
  
• Sicherheitsnachweis der Organisation gegenüber dem Gesetzgeber, Kunden, Partnern, Versicherungen und Lieferanten

IT-Risikomanagement

Mögliche Risiken:

• Gezielte Angriffe von Personen (Hacker, Spione)
  
• Elementarereignisse ( Feuer, Erdbeben, Wasserschäden, Blitzschlag
  Fahrlässige Handhabung u. Fehlbedienungen
  
• Verstöße gegen Gesetze oder Verträge (Vertraulichkeitserklärung)
  
• Schädigung von Personen (Ansehen, ...) 

Risikoeinschätzung

• Risikoanalyse + Risikobewertung
  

Mögliche Schadenskategorien

• Verstoß gegen Gesetze, Vorschriften oder Verträge
  
• Beeinträchtigung des Lebens
  
• Beeinträchtigung der Aufgabenerfüllung
  
• Andere negative Auswirkungen
  
• Finanzielle Folgen
  

Mögliches Schadensausmaß und Schutzbedarf

• Sehr hoch → katastrophal
  
• Hoch → beträchtliches Ausmaß
  
• Klein → tolerabel – geringfügig
  

Mögliche Maßnahmen nach Standard

• Leitlinien u. Regelwerke
  
• Vertragliche Gestaltung
  
• Prozeduren / Praktiken
  
• Organisationsstrukturen
  
• Administration / infrastrukturelle technische Anforderungen
  

Handhabung von Risiken

• Akzeptieren der Risiken
  
• Verlagerung der Geschäftsbereiche
  
• Outsourcing der risikoreichen Bereiche
  
• Versicherung gegen Risiken
  
• Maßnahmen ergreifen, um das Risiko zu minimieren