Quantitative oder qualitative Risikoanalyse

In der heutigen Geschäftswelt ist das richtige Management von Risiken entscheidend für den Erfolg eines Unternehmens. Es gibt zwei Hauptansätze zur Risikoanalyse: die qualitative und die quantitative Methode. Doch wie entscheidet man, welche Methode am besten für das eigene Unternehmen geeignet ist? In diesem Blogbeitrag präsentieren wir Ihnen einen hilfreichen Fragebogen, der Ihnen bei der Entscheidung zwischen qualitativer und quantitativer Risikoanalyse unter die Arme greift.

Quantitative oder qualitative Risikoanalyse

Das Thema quantitative oder qualitative Risikoanalyse wurde bereits in einem Artikel beleuchtet. Dort wurden die wichtigsten Unterschiede zwischen den beiden Ansätzen mit Beispielen aufgezeigt. Um die beste Lösung für Ihre individuellen Anforderungen zu finden, hilft der Nachfolgende Fragebogen. Dieser trägt zur begründeten Entscheidung bei der Wahl der Risikoanalyse zu treffen bei.

Fragebogen zur Entscheidung zwischen qualitativer und quantitativer Risikoanalyse

Bitte beantworten Sie die folgenden Fragen, um herauszufinden, welche Art der Risikoanalyse für Ihr Unternehmen am besten geeignet ist.

Welche Art von Risiken betrachtet Ihr Unternehmen?

a) Spezifische und messbare Risiken (z.B. finanzielle Verluste, Auswirkungen auf den Marktanteil)
b) Allgemeine und schwer messbare Risiken (z.B. Reputationsrisiken, betriebliche Unsicherheiten)

Wie genau sind die Daten, die für die Risikoanalyse verfügbar sind?

a) Präzise und gut dokumentiert
b) Ungenau oder unvollständig

Welchen Grad an Detailtiefe und Komplexität wünscht Ihr Unternehmen für die Risikoanalyse?

a) Einfache und leicht verständliche Ergebnisse
b) Detaillierte und komplexe Ergebnisse

Welche Ressourcen stehen Ihrem Unternehmen für die Risikoanalyse zur Verfügung (z.B. Zeit, Geld, Personal)?

a) Begrenzt
b) Ausreichend

Wie erfahren ist Ihr Unternehmen in der Risikoanalyse?

a) Wenig oder keine Erfahrung
b) Erfahren oder Experten

Inwieweit sind Entscheidungsträger in Ihrem Unternehmen bereit, sich auf subjektive Einschätzungen zu verlassen?

a) Bevorzugt objektive Daten
b) Akzeptiert subjektive Einschätzungen

Wie wichtig ist es für Ihr Unternehmen, die Wahrscheinlichkeit und die Auswirkungen von Risiken genau zu quantifizieren?

a) Sehr wichtig
b) Nicht entscheidend

Auswertung

Wenn die Mehrheit Ihrer Antworten a) ist, ist die qualitative Risikoanalyse wahrscheinlich besser für Ihr Unternehmen geeignet. Diese Methode ist einfacher, weniger ressourcenintensiv und ideal für Unternehmen, die sich mit allgemeinen oder schwer messbaren Risiken befassen.

Wenn die Mehrheit Ihrer Antworten b) ist, ist die quantitative Risikoanalyse wahrscheinlich besser für Ihr Unternehmen geeignet. Diese Methode ist komplexer, erfordert mehr Ressourcen und eignet sich am besten für Unternehmen, die präzise und gut dokumentierte Daten haben. Die quantitative Risikoanalyse ist darüber hinaus zu empfehlen, wenn Sie die Wahrscheinlichkeit und die Auswirkungen von Risiken genau quantifizieren möchten.

Der Fragebogen zur Entscheidungsfindung als Tabelle

Der Fragebogen ist in der nachfolgenden Mindmap visualisiert.

Optimale Bewertung von Assets: Wichtige Faktoren und Vorgehensweise

Die Bewertung von Assets, oder Vermögenswerten, oder auch Objekten (nach der BSI-Methodik), erfordert die Berücksichtigung verschiedener Faktoren, um eine realistische Wertermittlung sicherzustellen. Im Rahmen einer ISMS-Implementierung oder einer Risikoanalyse ist es notwendig den Wert der zu schützenden Assets zu kennen. Insbesondere für die quantitative Risikoanalyse ist die genaue Wertermittlung unabdingbar. In diesem Artikel geht es um die entscheidenden Faktoren und das Vorgehen bei der Bewertung von Assets.

Mehr zum Thema qualitative vs. quantitative Risikoanalyse.

Kosten der Anschaffung oder Entwicklung von Assets

Ein bedeutender Aspekt bei der Bewertung von Assets sind die Kosten, die für die Anschaffung oder Entwicklung des Vermögenswertes entstehen. Hierbei sollten alle damit verbundenen Kosten berücksichtigt werden, wie Materialkosten, Personalkosten oder Kosten für externe Dienstleister. Ebenso fließen Aufwendungen für die Entwicklung oder Verbesserung des Assets in die Bewertung ein.

Wartungs- und Schutzkosten von Assets

Ein weiterer wichtiger Faktor bei der Bewertung von Assets sind die Kosten für Wartung und Schutz des Vermögenswertes. Dabei geht es nicht nur um direkte Kosten für Wartung und Reparatur, sondern auch um Kosten für Versicherungen, Sicherheitsmaßnahmen und Ähnliches.

Beispiel:

Ein Unternehmen verfügt über eine Produktionsanlage, die regelmäßige Wartung benötigt, um den reibungslosen Betrieb sicherzustellen. Bei der Bewertung der Anlage müssen sowohl Anschaffungskosten als auch Wartungs- und Reparaturkosten berücksichtigt werden.

Bewertung von Assets: Schritt-für-Schritt-Anleitung

Um eine realistische Bewertung von Assets durchzuführen, sollten Sie folgende Schritte befolgen:

• Erstellen Sie eine Liste aller relevanten Kosten, die im Zusammenhang mit dem Asset angefallen sind.
• Berechnen Sie die Gesamtkosten für Anschaffung und Entwicklung des Vermögenswertes.
• Berechnen Sie die Kosten für Wartung und Schutz des Vermögenswertes.
• Addieren Sie die Gesamtkosten für Anschaffung und Entwicklung sowie die Kosten für Wartung und Schutz.
• Achten Sie darauf, bei der Bewertung von Assets alle wichtigen Faktoren zu berücksichtigen.

Wert des Assets für Eigentümer und Nutzer

Ein entscheidender Faktor bei der Bewertung von Assets ist der Wert des Vermögenswertes für Eigentümer und Nutzer. Dabei geht es darum, wie wichtig der Vermögenswert für den Betrieb des Unternehmens oder für bestimmte Geschäftsprozesse ist. Hier sollten auch die Auswirkungen von Ausfällen oder Verlusten des Vermögenswertes berücksichtigt werden.

Beispiel:

Ihre Organisation nutzt ein zentrales Datenbanksystem, das für die Durchführung von Geschäftsprozessen unerlässlich ist. Bei einem Ausfall des Systems können wichtige Geschäftsprozesse nicht mehr durchgeführt werden infolgedessen es kommt zu erheblichen finanziellen Verlusten. In diesem Fall hat das Datenbanksystem einen hohen Wert für das Unternehmen.

Wert des Assets für potenzielle Gegner

Ein weiterer wichtiger Faktor bei der Bewertung von Assets ist der Wert des Vermögenswertes für potenzielle Gegner. Dabei geht es darum, wie attraktiv der Vermögenswert für Angriffe von außen ist. Hier sollten auch die potenziellen Auswirkungen von erfolgreichen Angriffen berücksichtigt werden.

Beispiel:

Wieder eine Datenbank, diesmal eine Kundendatenbank, die für potenzielle Angreifer sehr attraktiv ist. Ein erfolgreicher Angriff auf die Datenbank könnte zu einem massiven Verlust von sensiblen Kundendaten führen und das Ansehen des Unternehmens beschädigen. In diesem Fall hat die Kundendatenbank einen hohen Wert für potenzielle Gegner.

Preis, den andere für das Asset zahlen würden

Ein weiterer Faktor bei der Bewertung von Assets ist der Preis, den andere für den Vermögenswert zahlen würden. Hierbei geht es um den Marktwert des Vermögenswertes, der sich aus Angebot und Nachfrage ergibt.

Beispiel:

Entwicklung einer innovativen Software, die für andere Unternehmen sehr attraktiv ist. In diesem Fall könnte der Marktwert der Software sehr hoch sein, da andere Unternehmen bereit wären, einen hohen Preis für die Nutzung der Software zu zahlen.

Bewertung von Assets – Kosten

Ein weiterer wichtiger Faktor bei der Bewertung von Assets sind die Kosten für die Wiederbeschaffung des Vermögenswertes. Hierbei geht es um die Kosten, die entstehen würden, wenn der Vermögenswert verloren geht oder beschädigt wird und ersetzt werden muss.

Beispiel:

Hochwertiges Server-Rack, das für die Datenverarbeitung und -speicherung unerlässlich ist. Wenn das Server-Rack beschädigt oder gestohlen wird, kann es teuer sein, es zu ersetzen. Daher ist es wichtig, die Kosten für die Wiederbeschaffung des Vermögenswertes in die Bewertung einzubeziehen.

Auswirkungen auf operative und produktive Aktivitäten

Ein wichtiger Faktor bei der Bewertung von Assets ist die Auswirkung auf operative und produktive Aktivitäten, wenn der Vermögenswert nicht verfügbar ist. Beispielsweise kann ein Server-Ausfall dazu führen, dass wichtige Geschäftsprozesse unterbrochen werden und damit direkte Auswirkungen auf das Tagesgeschäft des Unternehmens haben. Daher ist es wichtig, die potenziellen Kosten einer Unterbrechung oder eines Ausfalls in die Bewertung des Vermögenswerts einzubeziehen.

Haftungsfragen bei Kompromittierung

Eine weitere wichtige Überlegung bei der Bewertung von Vermögenswerten ist die Haftungsfrage im Falle einer Kompromittierung. Wenn ein Vermögenswert wie beispielsweise eine Kundendatenbank gehackt wird, kann dies erhebliche rechtliche und finanzielle Konsequenzen haben. Daher ist es wichtig, das Risiko von Haftungsansprüchen in die Bewertung des Vermögenswerts einzubeziehen.

Nützlichkeit und Rolle des Assets im Unternehmen

Ein weiterer wichtiger Faktor bei der Bewertung von Vermögenswerten ist die Nützlichkeit und Rolle des Assets im Unternehmen. Wenn ein Vermögenswert wie beispielsweise eine Cloud-basierte Anwendung für die Geschäftsprozesse unverzichtbar ist, ist er für das Unternehmen von hohem Wert. Daher ist es wichtig, den Nutzen des Vermögenswerts für das Unternehmen bei der Bewertung zu berücksichtigen.

Auswirkungen auf die Marke und Reputation des Unternehmens

Schließlich ist es wichtig, die Auswirkungen auf die Marke und Reputation des Unternehmens zu berücksichtigen, wenn ein Vermögenswert verloren geht oder kompromittiert wird. Wenn beispielsweise vertrauliche Kundendaten gestohlen werden, kann dies das Vertrauen der Kunden in das Unternehmen beeinträchtigen und langfristige Auswirkungen auf die Marke und Reputation haben. Daher ist es wichtig, die Auswirkungen auf die Marke und Reputation des Unternehmens bei der Bewertung von Vermögenswerten zu berücksichtigen.

Zusammenfassung – Bewertung von Assets

Die Bewertung von Assets ist ein wichtiger Prozess, um den Wert von Vermögenswerten realistisch einzuschätzen. Im Rahmen einer ISMS-Implementierung und der hierfür notwendigen Risikoanalyse, ist die Assetbewertung von hoher Bedeutung. Insbesondere für die quantitative Risikoanalyse sind Zahlen notwedig. Dabei sollten verschiedene Faktoren berücksichtigt werden, wie die Auswirkungen auf operative und produktive Aktivitäten, Haftungsfragen, die Nützlichkeit und Rolle des Assets im Unternehmen sowie die Auswirkungen auf die Marke und Reputation des Unternehmens. Indem Sie diese Faktoren bei der Bewertung von Assets einbeziehen, können Sie sicherstellen, dass Sie den optimalen Preis für Ihre Vermögenswerte erzielen.

OCTAVE-Risikomanagement: Umfassende Methode zur Identifizierung und Steuerung von Informationssicherheitsrisiken

Die Bedeutung der Informationssicherheit in der digitalen Welt von heute ist für Unternehmen unbestreitbar. Um Risiken effektiv zu managen, ist der Einsatz einer geeigneten Risikobewertungsmethode entscheidend. In diesem Artikel dreht sich alles um die OCTAVE-Risikomanagementmethode. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) hat sich als wertvolles Instrument für das Risikomanagement in Organisationen etabliert.

Was ist OCTAVE-Risikomanagement?

Entwickelt vom Software Engineering Institute (SEI) der Carnegie Mellon University, ist OCTAVE eine Methode zur Risikobewertung im Bereich der Informationssicherheit. OCTAVE legt besonderen Wert darauf, dass die Mitarbeiter innerhalb einer Organisation am besten wissen, welche Sicherheitsanforderungen notwendig sind und welche Risiken vorliegen.
Es gibt viele Frameworks und Methoden für das Risikomanagement, aber OCTAVE bietet einen umfassenderen Ansatz. OCTAVE betrachtet alle Systeme, Anwendungen und Geschäftsprozesse innerhalb einer Organisation.

Die verschiedenen OCTAVE-Methoden: OCTAVE, OCTAVE-S und OCTAVE Allegro

Es gibt drei unterschiedliche OCTAVE-Methoden für den öffentlichen Gebrauch: OCTAVE, OCTAVE-S und OCTAVE Allegro. Jede Methode hat eine breite Anwendbarkeit. Organisationen sollten jedoch den Ansatz wählen, der am besten zu ihren Anforderungen für die Bewertung von Informationssicherheitsrisiken passt.

OCTAVE

Die OCTAVE-Methode richtet sich an große Organisationen mit 300 oder mehr Mitarbeitern und wird in Workshops durchgeführt. Sie besteht aus drei Phasen und wurde für Organisationen mit mehrschichtiger Hierarchie entwickelt, die zudem noch ihre eigene IT-Infrastruktur betreiben und Schwachstellenbewertungen durchführen können.

OCTAVE-S

OCTAVE-S ist für Organisationen mit etwa 100 oder weniger Mitarbeitern konzipiert und wird von einem Analyseteam durchgeführt, das über umfangreiches Wissen über die Organisation verfügt. Im Gegensatz zur OCTAVE-Methode ist OCTAVE-S stärker strukturiert und erfordert eine weniger umfangreiche Untersuchung der Informationsinfrastruktur.

OCTAVE Allegro

OCTAVE Allegro konzentriert sich hauptsächlich auf Informationsvermögenswerte im Kontext ihrer Nutzung, Speicherung, Transport und Verarbeitung sowie ihrer Anfälligkeit für Bedrohungen, Schwachstellen und Störungen. Diese Methode besteht aus acht Schritten, die in vier Phasen organisiert sind und sowohl in einem Workshop-ähnlichen Umfeld als auch von Einzelpersonen ohne umfangreiche organisatorische Beteiligung durchgeführt werden können.
In diesem Beitrag betrachten wir OCTAVE Allegro näher.

OCTAVE Allegro: Vier Phasen, acht Schritte

Die OCTAVE-Methodik umfasst acht aufeinander aufbauende Schritte, die in vier Phasen unterteilt sind:

Phase 1: Bestimmende Faktoren festlegen

Schritt 1: Kriterien zur Risikomessung etablieren.
In dieser Phase geht es darum, die Methoden und Bewertungskriterien für die Risikoanalyse innerhalb einer Organisation zu entwickeln und zu definieren. OCTAVE setzt auf eine qualitative Bewertungsweise und Messungen, ermöglicht jedoch den Einsatz quantitativer Verfahren für spezifische Elemente des gesamten Prozesses, wie etwa die Ermittlung von Eintrittswahrscheinlichkeiten und Folgen.

Phase 2: Vermögenswert-Profile erstellen

Schritt 2: Profil für Informationsvermögenswerte anlegen.
Während dieses Schrittes erarbeitet die Organisation ein Profil für ihre Vermögenswerte, welches eine Sammlung von Informationen umfasst, die den jeweiligen Vermögenswert charakterisieren – darunter zählen Aspekte wie Eigenschaften, Prioritäten, Auswirkungen auf die Organisation und dessen Wert. Das Profil beinhaltet zudem potenzielle Sicherheitsanforderungen, die für den Vermögenswert relevant sein könnten.

Schritt 3: Speicherorte für Informationsvermögenswerte ermitteln.
Der Speicherort eines Informationsvermögenswerts zeigt, wie Daten aufbewahrt, bearbeitet und übermittelt werden. Solche Speicherorte umfassen in der Regel Netzwerke und Systeme, sowohl solche, die von der Organisation selbst betrieben werden, als auch solche, die ausgelagert sind.

Phase 3: Gefahren erkennen

Schritt 4: Kritische Bereiche aufdecken.
In diesem Schritt werden mögliche Risikofaktoren erfasst und für die Erstellung von Gefahrenszenarien genutzt.

Schritt 5: Gefahrenszenarien ausfindig machen.
Im Rahmen von OCTAVE stellen Gefahrenszenarien verschiedene Kategorien von Beteiligten und die zugehörigen Gefahren jeder Kategorie dar. Üblicherweise werden diese Szenarien durch einen Gefahrenbaum ermittelt, der Beteiligte und Szenarien veranschaulicht.

Phase 4: Risiken identifizieren und reduzieren

Schritt 6: Risiken identifizieren.
In diesem Schritt werden Folgen, wie etwa Auswirkungen und Eintrittswahrscheinlichkeiten, ermittelt und bewertet, um das Risiko besser einschätzen zu können.

Schritt 7: Risiken auswerten.
Nachdem die Auswirkungen und Wahrscheinlichkeiten erfasst und bewertet wurden, erfolgt die Analyse der Risiken. In diesem Schritt entstehen Risikoeinschätzungen, die auf der Bewertung von Auswirkungen und Wahrscheinlichkeiten basieren. Dabei liegt der Fokus insbesondere auf den Auswirkungen, da die Bewertung vermögensorientiert ist.

Schritt 8: Minderungsmaßnahmen auswählen.
In diesem Schritt werden Strategien zur Risikominderung entwickelt, geprüft und vorgeschlagen.

Informations­sicherheitsleitlinie eines Unternehmens

Die Informationssicherheitsleitlinie eines Unternehmens ist ein wichtiges Dokument, das die Grundsätze der Informationssicherheit und die Erwartungen des Unternehmens in Bezug auf den Umgang mit Informationen darlegt. Die Leitlinie ist ein wesentlicher Bestandteil des Informationssicherheits­managementsystems (ISMS) eines Unternehmens und sollte von allen Mitarbeitern und Führungskräften verstanden und umgesetzt werden.

Übernahme der Verantwortung durch das Top-Management

Bei der Anpassung von organisationsweiten Prozessen spielt die Zustimmung und Unterstützung der Leitungsebene eine entscheidende Rolle. Viele Informationssicherheitsstandards – wie zum Beispiel die ISO/IEC 27001 fordern explizit, dass das Topmanagement die Gesamtverantwortung für die Informationssicherheit innerhalb der Organisation nachweislich übernehmen muss. Zudem muss es die Bedeutung eines effektiven ISMS sowie die Einhaltung der Anforderungen an die betroffenen Mitarbeiter kommunizieren. Eine wichtige Rolle bei der Kommunikation dieser Anforderungen spielt die Informationssicherheits­leitlinie (Information Security Policy).

Businessziele

Die Businessziele sollten die Erstellung, Implementierung und Durchsetzung der Leitlinie antreiben. Ein wichtiger Aspekt bei der Erstellung der Informationssicherheitsleitlinie ist, dass die Businessziele des Unternehmens im Mittelpunkt stehen sollten. Die Informationssicherheitsleitlinie sollte nicht die Businessziele des Unternehmens beeinflussen oder vorschreiben, sondern vielmehr sicherstellen, dass die Businessziele auf eine sichere und verantwortungsvolle Weise erreicht werden. Die Leitlinie sollte demnach in enger Zusammenarbeit mit dem Management und den Fachbereichen des Unternehmens erstellt werden. So ist es gewährleistet, dass das zu erstellende Dokument den Bedürfnissen des Unternehmens entspricht.

Die Informations­sicherheits­leitlinie sollte leicht verständlich sein und als Referenzpunkt dienen

Ein weiterer wichtiger Aspekt der Informationssicherheitsleitlinie ist, dass sie leicht verständlich sein sollte. Das Dokument sollte als Referenzpunkt für alle Mitarbeiter und Führungskräfte dienen und klar und deutlich formuliert sein. Darüber hinaus sollte die Informationssicherheitsleitlinie auch regelmäßig aktualisiert werden, um sicherzustellen, dass sie auf dem neuesten Stand ist und den sich ändernden Bedürfnissen des Unternehmens entspricht.

Integration in alle Geschäftsfunktionen und -prozesse

Ein wichtiger Aspekt der Informationssicherheitsleitlinie ist, dass sie in alle Geschäftsfunktionen und -prozesse integriert werden sollte. Die Leitlinie sollte sicherstellen, dass die Informationssicherheit in alle Aspekte des Unternehmens eingebettet ist, von der Beschaffung über die Entwicklung bis hin zur Wartung von IT-Systemen und der Sicherstellung der physischen Sicherheit von Räumlichkeiten und Geräten.

Berücksichtigung aller geltenden Gesetze und Vorschriften

Ein weiterer wichtiger Aspekt der Informationssicherheitsleitlinie ist, dass sie alle geltenden Gesetze und Vorschriften berücksichtigen sollte, die für das Unternehmen relevant sind.

Regelmäßige Überprüfung und Anpassung

Die Informationssicherheitsleitlinie eines Unternehmens sollte regelmäßig überprüft und angepasst werden, um sicherzustellen, dass sie den aktuellen Bedürfnissen und Anforderungen des Unternehmens entspricht. Änderungen des Geltungsbereiches, Änderungen im Geschäftsmodell, Fusionen oder Übernahmen sowie Veränderungen in der Unternehmensführung können Änderungen an der Leitlinie erfordern.

Datierung und Versionierung der Leitlinie

Um sicherzustellen, dass alle Mitarbeiter die aktuelle Version der Leitlinie verwenden, sollte jede Überarbeitung der Leitlinie datiert und versioniert werden. Auf diese Weise kann auch nachvollzogen werden, wann und welche Änderungen vorgenommen wurden. Hierzu gehören beispielsweise der Verfasser, der Überprüfer, Unterzeichner und so weiter.

Bekanntmachung

Die Art der Bekanntmachung der Informationssicherheitsleitlinie hängt von den spezifischen Anforderungen und Bedürfnissen des Unternehmens ab. In vielen Fällen wird die Leitlinie über interne Kommunikationskanäle wie das Intranet oder E-Mail-Verteiler veröffentlicht. Dabei ist es wichtig, dass die Leitlinie für alle Mitarbeiter leicht zugänglich ist und regelmäßig aktualisiert wird. Darüber hinaus kann es sinnvoll sein, eine Schulung oder ein Training für Mitarbeiter zu organisieren, um sicherzustellen, dass sie die Leitlinie vollständig verstehen und umsetzen können.

Beispielsweise könnte die Informationssicherheitsleitlinie eines Unternehmens in Form eines PDF-Dokuments auf dem Intranet zur Verfügung gestellt werden, das regelmäßig aktualisiert wird, um sicherzustellen, dass alle Mitarbeiter Zugriff auf die neueste Version haben. Das Unternehmen könnte auch eine regelmäßige E-Mail an alle Mitarbeiter senden, in der sie auf die Leitlinie und Änderungen hingewiesen werden. Eine Schulung oder ein Training könnte durchgeführt werden, um sicherzustellen, dass alle Mitarbeiter das Bewusstsein und Verständnis für die Sicherheitsrisiken haben und wissen, wie sie sich in Übereinstimmung mit der Leitlinie verhalten sollen.

Zugänglichkeit der Leitlinie für alle betroffenen Einheiten und Mitarbeiter

Es ist wichtig, dass alle Abteilugen und Mitarbeiter einfachen Zugang zu ihr haben. Die Leitlinie sollte daher auf einem Portal im Intranet des Unternehmens veröffentlicht werden. Dadurch können alle Mitarbeiter schnell und einfach auf die Leitlinie zugreifen und sie überprüfen, wenn sie Fragen zur Informationssicherheit haben. Es ist notwendig, dass die Mitarbeiter genau wissen, an wen sie sich bei Fragen zur Leitlinie wenden sollen. In der Regel sind es Informationssicherheitskoordinatoren, Information Security Officer (ISO), Chief Information Security Officer (CISO), Informationssicherheitsbeauftragte (ISB) und ähnlich gelagerte Positionen.

Die Implementierung einer umfassenden Informationssicherheitsleitlinie kann Unternehmen helfen, ihre vertraulichen Daten und Informationen zu schützen und das Vertrauen ihrer Kunden zu stärken. Indem die Leitlinie regelmäßig aktualisiert und angepasst wird und allen Mitarbeitern leicht zugänglich gemacht wird, kann das Unternehmen sicherstellen, dass es immer auf dem neuesten Stand der Informationssicherheit bleibt.

Exkurs: Dokumentenlenkung

In der Dokumentenlenkung geht es darum sicherzustellen, dass Dokumente systematisch und nachvollziehbar erstellt, geprüft, verteilt und entsorgt werden. Diese Praktiken werden auch als “Lenkung von Aufzeichnungen” oder “Lenkung von Dokumenten” bezeichnet. Im Qualitätsmanagement spricht man seit der DIN EN ISO 9001:2015 von der “Lenkung dokumentierter Information”, die Dokumente, Daten, externe Dokumente, Formulare, Checklisten, Aufzeichnungen, Prozessbeschreibungen und Arbeitsanweisungen umfasst. Die Dokumentenlenkung gewährleistet die Integrität und Nachvollziehbarkeit von Dokumenten und ist damit ein entscheidender Bestandteil der Organisation.

Verschiedene Aspekte der Dokumentenlenkung

Um verschiedene Aspekte von Dokumenten zu steuern, fordert die ISO 9001:2015 (genaueres zur ISO 9001) ein dokumentiertes Verfahren, das die Identifizierung, Aufbewahrung, Schutz, Wiederauffinden, Aufbewahrung, Überprüfung, Freigabe, Disposition, Lesbarkeit und Nachverfolgung von Änderungen umfasst. Die Dokumentenlenkung unterstützt Unternehmen dabei, organisiert und agil zu bleiben, insbesondere wenn sie wachsen. ISO 9001-zertifizierte Unternehmen müssen diese Praktiken lückenlos und umfassend umsetzen, um ein erfolgreiches Qualitätsmanagement-Audit zu bestehen.

Wann gilt ein Dokument als “gelenkt”?

Ein Dokument gilt im Sinne der ISO 9001 als gelenkt, wenn jeder Schritt seines Werdegangs, von der Erstellung über die Überprüfung, Genehmigung, Verteilung bis hin zum Einzug alter Versionen, festgelegt und jederzeit nachvollziehbar ist. Wie genau diese Praktiken umgesetzt werden, bleibt den Unternehmen selbst überlassen. Die ISO 9001 gibt keine Vorgaben dazu, wer Dokumente erstellen oder freigeben darf, wann Dokumente überprüft werden müssen und welche Dokumente gelenkt werden müssen. Es genügt, sich auf die wesentlichen Dokumente zu beschränken, um die Dokumentenlenkung effektiv umzusetzen. Weniger ist mehr.

Langlebigkeit der Informationsicherheitsleitlinie

Die Erstellung einer Informationsicherheitsleitlinie sollte mit der Absicht erfolgen, dass diese über mehrere Jahre hinweg bestehen bleibt.

Exkurs: Entwicklung einer Leitlinie

Die Entwicklung einer Leitlinie erfordert sorgfältige Überlegungen und sollte in Übereinstimmung mit den bestehenden Leitlinien-Entwicklungsmechanismen im Unternehmen erfolgen.

Input von relevanten Stakeholdern einholen

Um sicherzustellen, dass die Leitlinie von allen Mitarbeitern akzeptiert und umgesetzt wird, ist es wichtig, Input von allen relevanten Stakeholdern einzuholen. Die Perspektiven aller Führungskräfte und Teams, die von der Leitlinie betroffen sind, sollten sorgfältig berücksichtigt werden, auch wenn nicht jeder im Unternehmen mit der vorgeschlagenen Leitlinie einverstanden ist.

Befolgung der Hierarchie

Ein Verständnis der Organisationsstruktur ist unerlässlich für den Erfolg einer Leitlinie. Die Einhaltung der offiziellen Governance-Linien und der informellen Mechanismen im Unternehmen sind wichtig, um Unterstützung für die Leitlinie zu gewinnen.

Anpassung an die Organisationskultur

Es gibt keinen universellen Sicherheitsleitfaden, der für alle Unternehmen geeignet ist, da jeder Betrieb anders ist. Daher müssen die Leitlinien auf die Organisationskultur und die “Tonlage an der Spitze” anderer Führungskräfte abgestimmt werden. Aus diesen Überlegungen wird von der Nutzung vorgefertigter Vorlagen oder Templates abgeraten.

Erfüllung interner und externer Anforderungen

IT-Sicherheitsprogramme werden stark von internen Governance-Prozessen und externen Gesetzen und Vorschriften reguliert. Sei es das BSIG, TKG, KRITIS-Verordnungen, in vielen Fällen können diese Anforderungen den Inhalt von Sicherheitsleitlinien vorgeben oder beeinflussen. Die Leitlinien sollten jedoch nicht im Widerspruch zu diesen Anforderungen stehen.

Nach der Erstellung der Leitlinie muss diese durch die Genehmigungsmechanismen des Unternehmens geprüft werden. Nachdem die Leitlinie endgültig genehmigt wurde, kann der CISO oder der ISB die Leitlinie den betroffenen Personen und Teams kommunizieren und mit der Umsetzung beginnen. Je nach Art der Änderung kann dies einen schrittweisen Ansatz erfordern, um das Unternehmen allmählich an die neuen Anforderungen anzupassen.

Zukunftsorientierte Leitlinie

Es ist wichtig, bei der Erstellung einer Informationsicherheitsleitlinie die Zukunft im Blick zu behalten. Technologische Fortschritte und sich ändernde Geschäftsmodelle bringen Veränderungen mit sich. Diese Veränderungen haben oft Auswirkungen auf die Informationsicherheit des Unternehmens. Daher sollten die Richtlinien so gestaltet werden, dass sie flexibel genug sind, um sich an potenzielle Veränderungen anzupassen.

Professionelle Präsentation

Die Präsentation der Informationsicherheitsleitlinie ist ein weiterer wichtiger Aspekt. Eine professionelle Präsentation zeigt, dass das Unternehmen die Bedeutung der Informationsicherheit ernst nimmt. Es ist auch eine Möglichkeit, das Bewusstsein der Mitarbeiter für die Wichtigkeit der Leitlinie zu erhöhen. Eine klare, leicht verständliche Sprache und ein ansprechendes Design können dazu beitragen, die Akzeptanz der Leitlinie zu verbessern.

Zugänglichkeit der Leitlinie

Die Leitlinie sollte für alle Mitarbeiterinnen und Mitarbeiter des Unternehmens leicht zugänglich sein. Eine Möglichkeit ist die Veröffentlichung der Leitlinie auf einem Portal im Intranet. Darüber hinaus ist es wichtig, dass die Mitarbeiterinnen und Mitarbeiter regelmäßig auf die Leitlinie aufmerksam gemacht werden und sich bewusst sind, wo sie zu finden ist. Dadurch wird sichergestellt, dass die Leitlinie jederzeit zur Verfügung steht und die Mitarbeiterinnen und Mitarbeiter in der Lage sind, sie bei Bedarf zu konsultieren.

Klare und verständliche Sprache verwenden

Die Informationssicherheitsleitlinie in einer klaren und verständlichen Sprache zu verfassen, hat enorme Vorteile. Alle Mitarbeiter können sie dadurch verstehen und im Folgenden umsetzen. Die Verwendung von einfachen und prägnanten Aussagen trägt dazu bei, die Bedeutung und Relevanz der Leitlinie zu betonen.

Regelmäßige Überprüfung und Aktualisierung

Die regelmäßige Überprüfung und Aktualisierung der Informationssicherheitsleitlinie ist ein wichtiger Bestandteil des kontinuierlichen Verbesserungsprozesses (KVP). Ein KVP-Prozess ermöglicht es Unternehmen, ihre Leitlinien kontinuierlich zu verbessern.

Eine bewährte Methode zur Durchführung eines KVP ist die Anwendung des PDCA-Zyklus. Der PDCA-Zyklus besteht aus den vier Schritten:

1. Planung (Plan),
2. Durchführung (Do),
3. Überprüfung (Check) und
4. Verbesserung (Act).

Dieser Zyklus kann genutzt werden, um die Informationssicherheitsleitlinie zu überprüfen und zu aktualisieren.

Die Überprüfung sollte auch dazu dienen, festzustellen, ob die Leitlinie tatsächlich umgesetzt wird und ob sie in der Praxis noch immer relevant ist. Gegebenenfalls müssen Änderungen vorgenommen werden, um sicherzustellen, dass die Leitlinie den aktuellen Bedrohungen und Herausforderungen entspricht.

Durch eine regelmäßige Überprüfung und Aktualisierung der Leitlinie kann das Unternehmen sicherstellen, dass es immer auf dem neuesten Stand in Bezug auf die Informationssicherheit ist. Die fortlaufende Aktualisierung des Dokumentes zeigt auch, dass das Unternehmen die notwendigen Maßnahmen zur Wahrung der der Vertraulichkeit, Integrität und Verfügbarkeit seiner Assets ergreift.

Zusammenfassung

Die Erstellung einer Informationssicherheits­leitlinie ist ein wichtiger Schritt für jedes Unternehmen, um die Sicherheit von Informationen und Daten zu gewährleisten. Dabei sind folgende Punkte zu beachten:

• Business-Ziele sollten die Erstellung, Umsetzung und Durchsetzung der Leitlinie bestimmen.
• Top-Down Prinzip. Die Informationssicherheitsleitlinie wird vom Top-Management verabschiedet.
• Informationssicherheit sollte in alle Geschäftsprozesse und -funktionen integriert werden.
• Die Leitlinie sollte von relevanten Gesetzen und Vorschriften des Unternehmens abgeleitet und unterstützt werden.
• Die Leitlinie sollte regelmäßig überprüft und angepasst werden.
• Jede Version der Leitlinie sollte datiert und unter Versionskontrolle stehen.
• Dokumentenlenkung.
• Leicht Zugänglich.
• Die Leitlinie sollte so gestaltet sein, dass sie mehrere Jahre lang in Kraft bleiben kann.
• Berücksichtigung potenzieller Veränderungen.
• Die Leitlinie sollte klare und verständliche Aussagen enthalten.

Schlusswort

Die Implementierung einer Informationssicherheitsleitlinie ist ein wichtiger Schritt, um die Sicherheit von Informationen und Daten in einem Unternehmen zu gewährleisten. Eine sorgfältige Erstellung und regelmäßige Überprüfung der Leitlinie ist von entscheidender Bedeutung. Dies hilft sicherzustellen, dass sie den aktuellen Bedrohungen und Entwicklungen in der IT-Sicherheit gerecht wird. Eine gute Leitlinie sollte klar und verständliche sein. Zudem muss sie von allen Mitarbeitern und dem Management befolgt werden. Dies kann das Vertrauen der Kunden und Partner des Unternehmens stärken und zum Erfolg des Unternehmens beitragen.

Die neue ISO 27001 – Änderungen 2022

Worum geht es in diesem Beitrag?

Die internationale Norm ISO 27001 wurde überarbeitet und unterzog sich wichtigen Verbesserungen. Das Internation Accreditation Forum (IAF) veröffentlichte Oktober 2022 die neue und verbesserte ISO/IEC 27001:2022, die die bisherige ISO 27001:2013 ablöst. In diesem Artikel erfahren Sie mehr über die wichtigsten Änderungen, Besonderheiten und Herausforderungen, die neue ISO 27001 in der Version 2022 mit sich bringt.