IT meets Business

ISM-Implementierung

Im diesem „Information Security Management”-Projekt ging es um die Umsetzung einer Konzernrichtlinie für die Daten- und Informationssicherheit innerhalb einer Konzerngesellschaft. Das Ziel waren sichere, praktikable und nachhaltige Prozesse, die sowohl die Kundenerwartungen hinsichtlich Datensicherheit, als auch die Anforderungen der Konzernrevision erfüllten.

Neben der prinzipiellen Umsetzung der Konzernrichtline galt es vor allem eine praktikable kosten-nutzen-orientierte „ISM”-Einführung für die Daten- und Informationssicherheit zu erreichen. Ein wichtiger Punkt war zunächt den „Besitzer” der Daten und Informationen zu bestimmen, der dann auch die Sicherheitsansprüche (öffentlich, intern, vertraulich, streng vertraulich) definiert. Hierbei galt es auch festzulegen, ob der Besitzer der Daten ein anderer ist, als jener dem die aus den Daten erzeugten Informationen gehören. Ebenso musste festgelegt werden, in wie weit sich der Besitzer im Laufe des Datenverarbeitungsprozesses veränderte.

Alle diese, und viele weitere Voraussetzungen galt es zu ermitteln bzw. festzulegen, bevor die eigentlichen Klassifizierung oder Verschlüsselungsaktivitäten begannen, die dann auch innerhalb der IT-Welt durch konkrete, technische Maßnahmen unterstützt wurden. Eine weitere Herausforderung war für mich alle Mitarbeiter zu motivieren, an diesem Thema engagiert und dauerhaft mitzuarbeiten, denn nur so wurde sichergestellt, dass das ganze Projekt mehr als eine Alibi-Implementierung wurde.

• Gesamt-ISM-Verantwortung und Projektleitung
• Erarbeitung von Konzepten und Strategien zur effizienten, kosten-nutzen-orientierten Einführung und Umsetzung der ISM-Prozesse in die bestehenden Betriebs- und Führungsprozesse
• Überwachung der Einhaltung, kontinuierliche Tests und Optimierung der Umsetzung der verbindlichen „Information Security Management”-Richtlinie des Konzerns (unter Berücksichtigung der SOX-Compliance und des CObIT-Regelwerkes)
• Koordination und Unterstützung der Applikations- und Datenbank-Entwickler hinsichtlich Security-Aspekten
• Kooperation mit den Compliance-Verantwortlichen
• Schulung und Einweisung aller Führungskräfte und Mitarbeiter
• Koordination mit anderen Konzerngesellschaften
• Darstellung und Nachweis der unternehmenskonformen Umsetzung gegenüber der internen Revision und externen Wirtschaftsprüfern

---

Im Folgenden sind andere ausgewählte Projekte dargestellt:

• Konzeptionierung und Implementierung eines nachhaltigen BCM-Prozesse
• Konzeptionierung und Implementierung eines nachhaltigen ISM-Prozesses
• Oracle-Datenbank-Migration
• Hardware-Umstellung von SUN E10K auf diverse SUN Workgroup-Server
• Entwicklung und Implementierung eines Identity Management Systems
• Planung und Koordination eines Rechenzentrums-Umzugs