Was versteht man unter Informationssicherheitsmanagement?

Informationssicherheitsmanagement ist ein Prozess, der darauf abzielt, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Informationen sind i.d.R. das wertvollste Gut für jede Organisation, das vor Bedrohungen wie Hackerangriffen, Datenverlusten, Sabotage oder Naturkatastrophen geschützt werden muss. Informationssicherheitsmanagement umfasst die Planung, Umsetzung, Überwachung und Verbesserung von Maßnahmen zur Sicherstellung der Informationssicherheit.

Informationssicherheitsmanagement ist notwendig, um die folgenden Ziele zu erreichen:

Die Einhaltung von gesetzlichen und vertraglichen Anforderungen an den Schutz von Informationen
Die Reduzierung von Risiken und Kosten im Zusammenhang mit Informationssicherheitsvorfällen
Die Erhöhung des Vertrauens der Kunden, Partner und Mitarbeiter in die Organisation
Die Förderung einer Sicherheitskultur und eines Sicherheitsbewusstseins in der Organisation
Die Unterstützung der strategischen Ziele und der Wettbewerbsfähigkeit der Organisation

Ein Beispiel für Informationssicherheitsmanagement ist die Anwendung des internationalen Standards ISO 27001 oder dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI), der einen Rahmen für die Einführung eines Informationssicherheits-Managementsystems (ISMS) bietet. Ein ISMS ist ein systematischer Ansatz zur Identifizierung, Bewertung und Behandlung von Informationssicherheitsrisiken.

Was ist der PDCA-Zyklus?

Der PDCA-Zyklus ist ein Modell zur Optimierung des Qualitätsmanagements in Unternehmen. Er beschreibt einen iterativen Prozess der Problemlösung in vier Schritten: Planen, Umsetzen, Überprüfen und Handeln (Anpassen). Der PDCA-Zyklus geht auf die Arbeiten von Walter Andrew Shewhart und William Edwards Deming zurück, die als Pioniere im Qualitätsmanagement gelten.

Wie funktioniert der PDCA-Zyklus in der Informationssicherheit?

Der PDCA-Zyklus (Plan-Do-Check-Act) ist ein Modell zur kontinuierlichen Verbesserung von Prozessen und Produkten. Er besteht aus vier Phasen: Planen, Durchführen, Überprüfen und Anpassen. In der Informationssicherheit kann der PDCA-Zyklus angewendet werden, um die Einhaltung der gesetzlichen Anforderungen und die Sicherheit der personenbezogenen Daten zu gewährleisten.
Die vier Phasen des PDCA-Zyklus sind:

Planen (Plan)

In dieser Phase werden die Ziele und Maßnahmen für die Infrmationssicherheit festgelegt. Dazu gehören die Analyse der bestehenden Situation, die Identifizierung von Risiken und Schwachstellen, die Festlegung von Verantwortlichkeiten und Ressourcen, die Erstellung von Richtlinien und Verfahren sowie die Planung von Schulungen und Audits.

Durchführen (Do)

In dieser Phase werden die geplanten Maßnahmen umgesetzt. Dazu gehören die Sensibilisierung und Schulung der Mitarbeiter, die Implementierung von technischen und organisatorischen Sicherheitsmaßnahmen, die Dokumentation der Prozesse und Datenflüsse, die Dokumentation der Verarbeitungstätigkeiten und Datenschutzfolgenabschätzungen sowie die Einholung von Einwilligungen und Verpflichtungen.

Überprüfen (Check)

In dieser Phase werden die Ergebnisse der Maßnahmen überprüft. Dazu gehören die Durchführung von internen und externen Audits, die Messung von Kennzahlen und Indikatoren, die Bewertung der Wirksamkeit und Effizienz der Maßnahmen sowie die Erfassung von Feedback und Beschwerden.

Anpassen (Act)

In dieser Phase werden die Maßnahmen angepasst, um Verbesserungspotenziale zu nutzen. Dazu gehören die Analyse der Abweichungen und Ursachen, die Definition von Korrektur- und Vorbeugungsmaßnahmen, die Umsetzung der Änderungen sowie die Kommunikation der Ergebnisse und Lernerfahrungen.

Durch eine Zertifizierung nach ISO 27001 kann eine Organisation nachweisen, dass sie die Anforderungen an die Informationssicherheit erfüllt und kontinuierlich verbessert.

Ein ISMS bietet zahlreiche Vorteile für eine Organisation, wie zum Beispiel: