Beratung * Projekte * Prozesse

Information Security Management (ISM)

Wie wichtig sind Ihnen Ihre Kundendaten?

Ich war viele Jahre Verantwortlicher für das „Information Security Management” und habe beobachtet, dass Information Security oft auf IT-Security reduziert wird. Natürlich ist das besser, als gar kein Augenmerk auf die Sicherheit zu legen - nur wird auf diese Weise das Pferd von hinten aufgezäumt. Im Folgenden habe ich meine Erfahrungen und Gedanken hierzu zusammengefasst.

Was ist „ISM”?  mehr...

Wie macht man „ISM”?

Hier gibt es natürlich kein Patentrezept. Viele Unternehmen bzw. deren Mitarbeiter und Führungskräfte "kennen" ihre Daten und Informationen. Sie wissen, welche öffentlich sind, welche wichtig oder sogar essentiell sind. Oft fordern auch Kunden oder Aufsichtsbehörden besondere Maßnahmen. Die Vorgehensweise zum Daten- und Informationsschutz erfolgt meistens "von hinten". Die IT-Hard- und -Software wird sicher gemacht: Benutzer-Accounts, Passwortpolicy, Verschlüsselung des Netzwerktransfer, Sicherheitspatches usw. Dann gibt es "Clean Desktop Policy", d. h. die Schreibtische müssen aufgeräumt sein, so dass keine schützenswerten Papiere oder CD herumliegen. Der Zugang zu Gebäuden oder sogar speziellen Abteilungen wird elektronisch reglementiert und vieles mehr. Alle diese Maßnahmen sind prinzipiell auch sinnvoll - aber sie kosten (viel) Geld, und es stellt sich die Frage: Ist das alles notwendig?

Um bei der Informationssicherheit Kosten sparen zu können bzw. nicht auf der einen Seite mit Kanonen auf Spatzen zu schießen und auf der anderen Seite große Lücken offen zu lassen, weil dort das Investitionsvolumen nicht ausreichte oder der organisatorische Aufwand zu groß war, sollte das ganze Thema "von vorne" angegangen werden: Der Daten- oder Informationseigentümer - also entweder der Kunde, oder ein beauftragter Verantwortlicher im eigenen Unternehmen - klassifiziert alle seine Daten und Informationen. Und alle Bestände werden entsprechend ihrer Einordnung behandelt. In Summe kann das dazu führen, dass bestimmte Applikationen oder Datenbanken gar keine besondere IT-Sicherheit über das normale Maß hinaus benötigen, weil keine vertraulichen oder streng vertraulichen Daten verwaltet oder bearbeitet werden.

Insofern ist der Initiator aller „ISM”-Maßnahmen der Eigentümer der Daten bzw. Informationen. Er muss sicherstellen, dass im Zuge des kompletten Verarbeitungsprozesse - bei dem sich gegebenenfalls die Klassifizierungsstufe ändern kann - die Informationen adäquat geschützt werden. Hierbei geht es insbesondere um die Vertraulichkeit, die Integrität und die Verfügbarkeit. Eine wichtige Prämisse hierbei sollte auch die sogenannte "Need-to-know"-Strategie sein, d. h. nur jene Personen bekommen überhaupt einen Zugriff auf die schützenswerten Informationen, die sie auch bearbeiten oder auswerten müssen.

Wie viel bedeuten Ihnen Ihre Kundendaten?  mehr...

Ich helfe Ihnen dabei:

  • potentielle Sicherheitslücken und Gefahren für Informationen und Daten zu identifizieren!
  • Informations- und Datensicherheit Kunden und Aufsichtsbehörden gegenüber zu gewährleisten!
  • dass über Ihr Unternehmen nicht in den 20 Uhr-Nachrichten im Fernsehen berichtet wird!
  • den richtigen Lösungsanbieter für Ihre konkreten Probleme zu finden.

Impressum  ¦ Datenschutz  ¦ Nutzungsbedingungen

© 2010 Michael Martens, München - Alle Rechte vorbehalten