Standards zur Einführung

Standards zu Einführung

Standards zu Einführung

So wie der Einsatz von Informations- und Kommunikationstechnologien in Unternehmen in der Regel kein Selbstzweck ist, so sollte auch die Verwendung von Sicherheitsstandards immer mit einem – bestenfalls quantifizierbaren – Nutzen verbunden sein. Beispielsweise ist die Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) – je nach Wahl des Geltungsbereiches – durchaus mit einem spürbaren personellen und finanziellen Aufwand verbunden. Das gilt sowohl für den Zertifizierungsprozess als auch im nachfolgenden Betrieb des Managementsystems und den notwendigen Audits zur Aufrechterhaltung des Zertifikats. Unbestritten sind aber auch die Vorteile, die eine stringente und für das Unternehmen angemessene Einführung und Betrieb eines Managementsystems für die Informationssicherheit mit sich bringt.

In der Innenwirkung kann die Verwendung von etablierten Standards dabei unterstützen, die sicherheitsrelevanten IT-Prozesse zum Vorteil des Unternehmens, der Kunden, der eigenen Produkte sowie der Mitarbeiter zu verbessern. Sie bieten Hilfestellung bei der Entwicklung von generischen Maßnahmen auf Management-Ebene bis zu detaillierten technischen Implementierungen an. Sie liefern Methoden für ein leistungsfähiges IT-Sicherheitsmanagement oder definieren die IT-Sicherheit von ausgewiesenen Produkten. Sie können sowohl eigenständig als auch methodisch eingebettet in ein anderes System fortlaufend betrieben werden.

Ein ISMS ist sinnvollerweise Teil eines unternehmensweiten Risikomanagements, durch das insbesondere auch die IT-Risiken auf ein für das Unternehmen angemessenes Niveau reduziert werden können. Dabei kommt es insbesondere darauf an, die Risiken umfassend zu ermitteln und die Schutzmechanismen aus wirtschaftlichen Gründen nicht aufwendiger zu gestalten, als es das zulässige Risiko verlangt. Die Auswahl und die Anwendung angemessener IT-Sicherheitsstandards ist ein Teil des IT-Sicherheitsmanagements.

In der Außenwirkung entwickeln die Verwendung und insbesondere der Nachweis der Verwendung von ITSicherheitsstandards (also eine entsprechende Zertifizierung) eine immer größere Bedeutung – dies gilt insbesondere für Standards im Bereich Management und Prozesse.

Die Vielzahl und Vielfalt der heutigen Sicherheitsstandards hat sich aus den unterschiedlichen Bedürfnissen von Unternehmen (z. B. verschiedene Branchen) aber auch aus den Rollen und Verantwortlichkeiten von Personen im Unternehmen entwickelt.