- Sicherheitsmanagement
-
Sicherheitsmanagement bezeichnet gemäß den beiden Wortbestandteilen Sicherheit und Management die Planung, Steuerung und Kontrolle der Sicherheit in einem privaten oder öffentlichen Unternehmen. Häufig werden die Aufgaben eines Sicherheitsmanagements dabei auf Systeme der Informationstechnik bezogen und auf Aspekte der IT-Sicherheit beschränkt. Dies ist dadurch zu erklären, dass die zunehmende Durchdringung von Unternehmen mit Informationstechnologie zu einer starken Abhängigkeit der Unternehmen von solchen Systemen führt.
Sicherheitsmanagement kann zusätzlich Aspekte der Sicherheit anderer technischer Systeme sowie nicht-technische Aspekte umfassen, beispielsweise in den Bereichen Arbeitssicherheit (gefahrenfreies Arbeiten der Arbeitnehmer am Arbeitsplatz), Betriebssicherheit (störungs- und gefahrenfreie Funktion technischer Anlagen bzw. Maschinen) sowie die Sicherheit von Räumen und Gebäuden.
Inhaltsverzeichnis
Aufgaben des Sicherheitsmanagements
Die Aufgaben des Sicherheitsmanagements können in strategische und operative Aufgaben unterschieden werden, welche jeweils auf alle aufgeführten Bereiche der Sicherheit in Unternehmen bezogen werden können.
Zu den strategische Aufgaben gehören:
- strategische Analysen (Bedrohungsanalyse, Schwachstellenanalyse),
- Planung von Sicherheitszielen, Strategien und Sicherheitsmaßnahmen,
- Erstellung eines Sicherheitskonzepts,
- Festlegung von Verantwortung für die Sicherheit in allen unterschiedlichen Bereichen, sowie Vergabe der benötigten Kompetenzen an die verantwortlichen Stellen und Mitarbeiter,
- strategische Kontrolle, d. h. Überprüfung von Prämissen des Sicherheitskonzepts, der gesetzten Sicherheitsziele sowie der Wirksamkeit der geplanten Strategien.
Zu den operative Aufgaben gehören:
- operative Analysen (Risikoanalyse)
- operative Planung von Maßnahmen und Projekten zur Umsetzung des Sicherheitskonzepts,
- Organisation von Schulungen und Übungen, in denen sicherheitsrelevante Informationen vermittelt, das richtige Verhalten der Mitarbeiter im Hinblick auf Gefahren erläutert und geübt sowie auf diese Weise Akzeptanz für Sicherheitsmaßnahmen geschaffen wird,
- operative Kontrolle, d. h. Überprüfung der Umsetzung des Sicherheitskonzepts, der Durchführung der geplanten Maßnahmen, der Einhaltung der Sicherheitsrichtlinien sowie der Wirksamkeit der umgesetzten Sicherheitsmaßnahmen.
Organisatorische Einordnung des Sicherheitsmanagements
Organisatorisch sind die operativen Aufgaben des Sicherheitsmanagements häufig auf funktionale Teilbereiche im Unternehmen verteilt. Die strategischen Aufgaben des Sicherheitsmanagements sollten je nach der Bedeutung der verschiedenen Sicherheitsaspekte für das Unternehmen in der Aufbauorganisation entsprechend hoch angesiedelt und ggf. funktionsübergreifend gebündelt sein. Neben der Zuständigkeit eines Mitglieds der Unternehmensführung ist die Bestellung eines Sicherheitsbeauftragten eine wichtige organisatorische Maßnahme. Während ein Sicherheitsbeauftragter im Bereich Arbeitsschutz nach SGB VII für jedes Unternehmen mit Sitz in Deutschland vorgeschrieben ist, benennen Unternehmen heute für den Bereich der IT-Sicherheit häufig einen speziellen IT-Sicherheitsbeauftragten.
Sicherheitsanalyse
Die Sicherheitsanalyse ist Teil der Tätigkeiten im Rahmen des Sicherheitsmanagements in einer Organisation oder einem Unternehmen. Ziel der Sicherheitsanalyse ist es, Bedrohungen zu erkennen, deren Eintrittswahrscheinlichkeit und Schadenspotenzial einzuschätzen und daraus das Risiko für die Organisation abzuschätzen.
Dieses Vorgehen ist nur schwer zu formalisieren, es ist in Teilbereichen jedoch versucht worden eine Standardisierung, beispielsweise im Rahmen des Standards ISO 17799, zu erreichen.
Mittel der Sicherheitsanalyse sind sowohl technischer Art (darunter Vulnerability Scan und Penetrationstest), als auch prozessorientierter Art (Gespräche mit verantwortlichem Personal oder Datenschützern, Dokumentationsanalysen oder Geschäftsprozessanalyse).
Die Ergebnisse einer Sicherheitsanalyse sollten sich in der Empfehlung und Umsetzung von Maßnahmen zur Steigerung der IT-Sicherheit niederschlagen.
Sicherheitspolitik
Die Sicherheitspolitik umfasst Ziele und Richtlinien der Sicherheit in Unternehmen. Sie beschreibt bezogen auf alle Aspekte der Sicherheit den Soll-Zustand im Hinblick auf das gewünschte Verhalten der Mitarbeiter und bildet somit die Arbeitsgrundlage für alle Unternehmenstätigkeit. Die Sicherheitspolitik sollte im Einklang mit dem Leitbild des Unternehmens stehen und von der Unternehmensführung vertreten werden.
Sicherheitskonzept
Zentraler Bestandteil eines Sicherheitsmanagements ist ein Sicherheitskonzept. Hier werden alle relevanten Rahmenbedingungen, die definierten Sicherheitsziele des Unternehmens sowie Maßnahmen zur Zielerreichung beschrieben bzw. definiert. Das Sicherheitskonzept stellt entsprechend die Basis für die Planung und Durchführung einzelner Sicherheitsmaßnahmen dar. Ziel der Erstellung und Umsetzung eines Sicherheitskonzepts ist das Erreichen eines geplanten Sicherheitsniveaus und die Minimierung identifizierter Risiken. Im Bereich der IT-Sicherheit sind Maßnahmen des IT-Grundschutzes bedeutender Bestandteil des Sicherheitskonzepts in allen Bereichen, in denen eine detaillierte Risikoanalyse nicht wirtschaftlich wäre.
Siehe auch
Literatur
- Gilbert Brands: IT-Sicherheitsmanagement. Protokolle, Netzwerksicherheit, Prozessorganisation. Springer, Berlin u. a. 2005, ISBN 3-540-24865-X (X.Systems.press).
- Dieter Burgartz, Ralf Röhrig: Information-Security-Management. Praxishandbuch für Aufbau, Zertifizierung und Betrieb. TÜV Media GmbH, Köln 2003– (Vierteljährliche Aktualisierung), ISBN 3-8249-0711-9.
- Bundesamt für Sicherheit in der Informationstechnik: IT-Sicherheitsmanagement und IT-Grundschutz. BSI-Standards zur IT-Sicherheit. Bundesanzeiger-Verlag, Köln 2005, ISBN 3-89817-547-2 (Praxiswissen professionals).
- Lutz J. Heinrich, Franz Lehner: Informationsmanagement. Planung, Überwachung und Steuerung der Informationsinfrastruktur. 8. vollständig überarbeitete und ergänzte Auflage. Oldenbourg Wissenschaftsverlag, München u. a. 2005, ISBN 3-486-57772-7 (Wirtschaftsinformatik).
- Gabriela Hoppe, Andreas Prieß: Sicherheit von Informationssystemen. Gefahren, Maßnahmen und Management im IT-Bereich. Verlag Neue Wirtschafts-Briefe, Herne u. a. 2003, ISBN 3-482-52571-4 (NWB-Studienbücher Wirtschaftsinformatik).
- Bernhard Tenckhoff, Silvester Siegmann: Vernetztes Betriebssicherheitsmanagement. (BSM. Qualitätsmanagement, Risiko- und Krisenmanagement, Brandschutz, Umweltschutz, Betriebssicherheit, Arbeits- und Gesundheitsschutz, Datenschutz). Haefner, Heidelberg 2009, ISBN 978-3-87284-061-5.
Kategorien:- Technische Sicherheit
- IT-Sicherheit
Wikimedia Foundation.