Sicherheitsprozess

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Zur Darstellung des Sicherheitsprozesses in der Informationssicherheit soll dieser unterteilt werden nach

  • Prozess zur Schaffung eines Informationssicherheitssystems und
  • Prozess des Betriebs eines Informationssicherheitssystems.

Diese beiden Prozesse charakterisieren den Umgang mit der Informationssicherheit, wobei der Prozess zur Schaffung eines Informationssicherheitssystems der grundlegendere sein sollte und die Voraussetzungen für den Prozess zum Betrieb eines solchen Systems strukturieren sollte.

Prozess zur Schaffung eines Informationssicherheitssystems

Der Prozess zur Schaffung eines Informationssicherheitssystems soll in Anlehnung an die gängigen ISO-Normen (ISO/IEC 9001 sowie ISO/IEC 27001/02) nach dem Modell des PDCA-Zyklus aufgebaut werden. Der PDCA-Zyklus besteht aus den Phasen:

  • Plan - Planung
  • Do - Umsetzung
  • Check - Prüfung und
  • Act - Korrektur.

In der Planungsphase wird die Informationssicherheitsstrategie fixiert, es werden die Risiken und Bedrohungen offen gelegt und diesen Maßnahmen zum Risikomanagement, zur Schaffung eines sicheren Systems zugeordnet und die Maßstäbe/Kriterien zur Beurteilung der Effizienz festgelegt.

In der Umsetzungsphase - die Phase des Betriebs des Informationssicherheitssystems - werden die Maßnahmen auf Grundlage der Informationssicherheitsstrategie und Informationssicherheitspolitik implementiert und damit die Grundlage geschaffen, um das System in der folgenden Phase prüfen zu können.

Die Prüfungsphase untersucht, ob die getroffenen Maßnahmen so effizient waren, dass die in der Sicherheitsstrategie und -politik festgelegten Ziele erreicht worden sind und ob damit das Sicherheitssystem die gestellten Erwartungen erfüllt hat.

In der Korrekturphase werden Korrekturen sowohl gegebenenfalls an den Strategien, der Politik aber auch vor allem an den eingesetzten Maßnahmen vorgenommen und es wird insbesondere der Prozess des Umganges mit den Maßnahmen im realen Betrieb zu optimieren versucht. Korrekturprozesse werden sowohl auf der technischen als auch der organisatorischen-/Managementseite durchgeführt. Das gesamte System ist als rückgekoppeltes System aufgebaut, sodass die Korrekturphase wiederum in eine Planungsphase übergeht, bei der die gewonnenen Erkenntnisse als Grundlage eines neuen Planungsinputs genutzt werden.


Prozess des Betriebs eines Informationssicherheitssystems

Der Prozess des Betriebs eines Informationssicherheitssystems besteht im Wesentlichen darin, die vorher festgelegten Planungskomponenten im realen Betrieb umzusetzen. Umzusetzende Maßnahmen können in nachfolgende Kategorien gegliedert werden:

  • Management des Informationssicherheitssystems
  • organisatorische Maßnahmen
  • technische Maßnahmen
  • Maßnahmen der Problemwahrnehmung und Motivation
  • Schulungs- und Fortbildungsmaßnahmen
  • Ressourcenzuordnung und budgetäre Maßnahmen

Für eine effiziente Organisation des Betriebs eines Informationssicherheitssystems müssen - ohne Anspruch auf Vollständigkeit - die Prozessbeteiligten festgelegt werden, die Kompetenzen für den Normalfall und für den Sonderfall/Ausnahmefall definiert werden. Wichtig ist auch, die Meldewege für Ereignisse, auch im Sinne von Eskalationsprozessen aufzubauen. Sinnvoll ist, eine Revision der Effizienz der getroffenen Maßnahmen im Verhältnis zu ihren Kosten vorzunehmen. In den meisten Unternehmen unterbleibt eine Dokumentation der Sicherheitsprozesse. Ein gutes Berichts- und Dokumentationssystem ist aber die Voraussetzung für ein System, welches in der Lage ist, aus seinen Fehlern zu lernen und optimiert zu werden.


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 24. Mai 2017 um 19:15 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Admin.

Anzeigen