Assets erfassen – Assets bewerten
Nicht jede Information hat den gleichen Wert. Der Verlust des Know-hows zur Programmierung einer Maschine wiegt schwerer als der Verlust einer Kunden-Telefonnummer. Um ein praktikables Sicherheitskonzept zu implementieren, müssen daher zunächst die Prozesse und Informationen identifiziert werden, die im hohen Maße schützenswert sind. Generell gilt: Je größer der potenzielle Schaden, den ein Informationsverlust verursachen würde, desto höher der Informationswert. In Kombination mit einer Abschätzung der Eintrittswahrscheinlichkeit entsteht eine Risikobeurteilung für die ausgewählten Assets. Die Risikobeurteilung ist wiederum Grundlage für die Festlegung des adäquaten Schutzniveaus.
Die ISMS-Erweiterung in otris privacy unterstützt Unternehmen bei der strukturierten Asset-Erfassung und ihrer Bewertung. Zur Asset-Erfassung integriert die Software ein leicht bedienbares Dokumentationsmodul: Nach vordefinierten Kriterien beschreiben verantwortliche Mitarbeiter ausgewählte Assets. Die einheitliche Struktur der Dokumentation vereinfacht die Gruppierung in Asset-Klassen. Die Asset-Dokumentation als Informationsverbund ist Grundlage für die Risikobewertung: Das System unterstützt den Anwender mit Fragebogen-basierten Risk-Assessment-Tools bei der Einordnung.
Sicherheitskonzept ausarbeiten und implementieren
Auf Basis der Risikobewertung leiten Unternehmen Maßnahmen zur Risikobehandlung ab. Vor der Implementierung neuer Maßnahmenkonzepte hilft eine Gap-Analyse bei der Bestandsaufnahme aller bereits etablierter Sicherheitsmaßnahmen. Die ISMS-Erweiterung in otris privacy enthält ein Gap-Analyse-Tool für einen Checklisten-basierten Soll-Ist-Vergleich. Die im Abgleich festgestellten Lücken im Sicherheitskonzept müssen durch neu entwickelte Maßnahmen geschlossen werden. Bei der Übersetzung der Maßnahmen bzw. des Sicherheitskonzepts in Prozesse und wiederkehrende Abläufe sind zwei Dinge von vorrangiger Bedeutung: Die volle Unterstützung der Geschäftsführung und ein System, das die ausgearbeiteten Prozesse steuert ihre Einhaltung kontrolliert und eine kontinuierliche Verbesserung ermöglicht.
Die ISMS-Erweiterung in otris privacy setzt diese Anforderung mit einem Management Cockpit um. Das Cockpit zeigt übersichtlich welche Mitarbeiter welche Rolle und Verantwortung innerhalb des Sicherheitskonzepts einnehmen und ob die ihnen zugeteilten Aufgaben bearbeitet wurden. Das Cockpit zeigt zusätzlich Audit-Resultate, den Status im Risikomanagement und gibt einen Überblick über Sicherheitsvorfälle. Management-Reviews zeigen den Ist-Zustand des Systems sowie Abweichungen zum Soll-Zustand und helfen so, das System fortlaufend weiterzuentwickeln und an neu identifizierte Risiken anzupassen.
Zertifizierung
Als Leitlinie bei der Einführung eines ISMS aber auch als Zertifizierungs-Grundlage hat sich die internationale Norm ISO/IEC 27001 bzw. die deutsche ISO 27001 auf Basis IT-Grundschutz (BSI-Grundschutz) etabliert. Nach welchem Standard ein Unternehmen sein Sicherheitskonzept aufbaut, ist auch abhängig vom Geschäftsfeld und damit verbundenen externen Anforderungen. Vorschrift für Behörden oder KRITIS-Betreiber ist beispielsweise eine Zertifizierung nach BSI-Standard. Ein Zulieferunternehmen könnte hingegen die ISO-Methodik wählen, falls der Auftraggeber dies verlangt. Die ISMS-Erweiterung in otris privacy unterstützt beide Vorgehensweisen. Die Anwendung integriert sowohl die BSI-Inhalte als auch die Controls aus Anhang A der ISO 27001.
Unabhängig davon, ob ein Unternehmen eine Zertifizierung anstrebt oder das ISMS ausschließlich zum Schutz wertvoller Assets einsetzt: otris privacy unterstützt bei einer strukturierten Umsetzung Ihres unternehmensweiten Sicherheits-Systems und ist mit einfach zu bedienenden Dokumentations-, Schulungs- und Steuerungswerkzeugen die technische Basis für eine erfolgreiche operative Arbeit im Tagesgeschäft.
