Security Management

Security Standards gibt es mittlerweile in Hülle und Fülle. Manche Standards sind eher globaler Natur (z.B. ISO 27001), manche sind stark auf IT Security ausgerichtet (z.B. BSI Grundschutzkataloge), manche sind nur für bestimmte Branchen (MARisk für Banken und Versicherungen) oder gelten nur unter bestimmten Voraussetzungen (PCI-DSS für Verarbeitung, Speicherung von Transport von Kreditkarten-Daten).

Das Thema "Security Management" wird stark von den vorgegeben Security Standards geprägt, die man umsetzen möchte (oder muss). Hinzu kommen noch diverse rechtliche Anforderungen, die im Rahmen eines systematischen Compliance Managements erkannt und umgesetzt werden müssen.

Dies macht den Aufbau eines soliden, gut durchdachten Security Managements nötig, um eine schlanke aber effiziente Sicherheitsorganisation aufzubauen, die auch einfach zu erweitern ist.

Risiko-Management

Integraler Bestandteil jedes Security Managements ist das Information Security Risk Management (IS-RM). Der Erfolg bei der Implementierung eines IS-RM hängt von der Integration in die alltäglichen Prozesse sowie von der Intergration in ein etwaiges bestehendes Business Risk Management ab.
Ebenfalls sehr wichtig ist die Auswahl einer geeigneten Risiko-Analyse-Methode für die eigenen Anforderungen. Nicht immer ist die Standardformel "Risiko = Eintrittswahrscheinlichkeit * Schadensausmaß" das passende Mittel der Wahl. Hier kann der Standard ISO 27005 einen guten ersten Überblick geben.

Eine Sonderform der Risiko-Analyse im Bereich der Software-Entwicklung ist das sogenannte "Threat Modelling". Dies ist geeignet, um Risiko-Analysen in einen bestehenden Software Development Lifecycle (SDL) einzubetten. Threat Modelling unterstützt die systematische Analyse einer Software-Applikation auf Schwachstellen und ermöglicht bereits in der Entwicklungsphase, Sicherheitsprobleme zu erkennen und abzustellen.

Integriertes Management System

Leider sieht man in der Praxis viel zu oft den Ansatz, dass für jede (ISO)-Zertifizierung und für jeden Standard ein eigenes Management-System im Sinne diverser Insel-Lösungen aufgebaut wird.  Verschiedene Abteilungen arbeiten jeweils an "ihren" Systemen und erzeugen dabei unnötigen Overhead.  Ein praxistaugliches Management-System wird dagegen so aufgesetzt, dass  die verschiedenen Anforderungen in ein einziges Management-System integriert werden.

Viele Firmen  machen Ihre ersten Erfahrungen mit Management-Systemen nicht bei Sicherheits-Themen, sondern mit den "üblichen Verdächtigen": ISO 9001 Qualitätsmanagement, ISO 14001 Umweltmanagememnt oder ISO 20000 Service Management. Als Grundlage für ein integriertes Management-System kann hier ISO 9001 dienen, in das sich alle anderen Standards einbetten lassen.

Startet man dagegen direkt mit Sicherheits-Standards, dann eignet sich ISO 27001 hervorragend als Basis für ein Information Security Management System (ISMS). Der Standard ist so aufgebaut, dass man andere Sicherheitsanforderungen problemlos integrieren kann. Sollte man später die oben genannten Nicht-Sicherheitsstandards umsetzen wollen, dann hat man sich nichts verbaut, da ISO 27001 auf den Prinzipien von ISO 9001 aufbaut.

Gerne wird bei einem Information Security Management System das Thema "Datenschutz" vergessen bzw. separat implementiert. Damit vergibt man die Möglichkeit, die zentralen Steuerungsmechanismen eines ISMS auch für den Datenschutz zu nutzen. Hier sollte von Anfang an eine Integration angestrebt werden.

Dienstleistungen

Für weiterführende aktuelle Informationen zum Thema "Security Management" werfen Sie doch einfach mal einen Blick in meinen Blog.