Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Lektion 2:

Sicherheitsmanagement

Informationssicherheitsbeauftragter und Geschäftsführerin im Gespräch (Bild hat eine Langbeschreibung)

Jede Institution benutzt heute Sicherheitstechnik, um sich vor Gefahren aus dem Internet abzusichern. Dazu gehören fast immer Virenschutzprogramme und Spamfilter, oft aber auch komplexere Lösungen wie gestaffelte Firewalls und Software zur Angriffserkennung. Darüber hinaus ergreifen Behörden und Unternehmen organisatorische Maßnahmen, etwa indem sie Richtlinien für die Benutzung mobiler Systeme erlassen oder die ihre Mitarbeiter über Gefahren im Internet informieren. Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle.

Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß allerdings weder effektiv noch effizient. Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden. Ein solches Managementsystem für Informationssicherheit (ISMS) besteht aus folgenden Komponenten:

Die vier Komponenten eines ISMS (Bild hat eine Langbeschreibung)
  • Managementprinzipien,
    etwa der Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen,
  • Ressourcen und Mitarbeitern,
    dies umfasst die Steuerung des Einsatzes von Technik und Personal sowie
  • der Beschreibung eines Sicherheitsprozesses.

Aber worauf sollten Sie beim Aufbau und Betrieb eines ISMS achten?

Literatur

Antworten hierzu finden Sie im BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS). Die dort genannten Empfehlungen werden im BSI-Standard 200-2: IT-Grundschutz-Methodik konkretisiert. In den Kapiteln 3 und 4 erfahren Sie dort beispielsweise, worauf bei der Initiierung und Organisation des Sicherheitsprozesses zu achten ist.

In dieser Lektion lernen Sie die wesentlichen Aspekte des Managements von Informationssicherheit gemäß IT-Grundschutz kennen:

  • Wie gestaltet sich der Sicherheitsprozess?
  • Was sind die grundlegenden Managementprinzipien?
  • Wie wird eine gute Sicherheitsorganisation aufgebaut?
  • Wie wird eine Sicherheitsleitlinie formuliert?
  • Was sind die grundlegenden Schritte zum Sicherheitskonzept?
  • Wie sieht eine gute Dokumentation aus?

Vorherige/nächste Seite:

Weitere Informationen

Zurück zu Online-Kurs IT-Grundschutz

Kurz-URL:
https://www.bsi.bund.de/dok/10990042