IT-Sicherheitsorganisationen veröffentlichen gemeinsame Richtlinien für Informationssicherheit

ISF, (ISC)² und ISACA setzen sich für anerkannte Best Practices ein und fördern sicherheitsorientiertes Handeln

(21.12.10) - Drei der weltweit führenden IT-Sicherheitsorganisationen haben erstmalig eine Liste von Richtlinien für Informationssicherheit herausgegeben, um so die Einhaltung von Best Practices in diesem Bereich zu fördern. Das Information Security Forum (ISF) und die ISACA veröffentlichen gemeinsam zwölf allgemeingültige, herstellerneutrale Richtlinien, um Sicherheitsexperten in einer immer komplexer werdenden IT-Welt eine Hilfestellung zu bieten. Die Richtlinien sollen sie dabei unterstützen, sich noch effektiver auf die sich laufend verändernden Anforderungen in ihren Organisationen konzentrieren zu können.

Der steigende Stellenwert der Informationssicherheit, der als grundlegende Voraussetzung für angemessene Corporate Governance, Compliance und Risikobewertung gilt, hat klare Richtlinien erforderlich gemacht. Diese Richtlinien sind für die heutige Geschäftswelt unverzichtbar und werden von der Mehrzahl der Sicherheitsverantwortlichen unterstützt. Eine solche Orientierungshilfe trägt dazu bei, dass Sicherheitsverantwortliche Geschäftsziele unterstützen, ihre Unternehmen besser vor Risiken schützen und unternehmensintern für verantwortungsbewusste, sicherheitskonforme Verhaltensweisen sorgen.

"Es gibt zwar schon andere Standards und Richtlinien wie SOGP, COBIT und ISO27002, aber die richten sich alle an Organisationen. Unsere Richtlinien hingegen sollen ganz bewusst eine praktische Anleitung so wie Verhaltenskodex sein, an dem der einzelne Sicherheitsverantwortliche sich orientieren kann", erklärt Jason Creasey, Global Alliances Leader, ISF. "Das geschäftliche Umfeld und die damit verbundenen Risiken verändern sich ständig, und so müssen wir ein stärkeres Sicherheitsbewusstsein entwickeln, Die Informationssicherheit genießt mittlerweile einen hohen Stellenwert in den Unternehmen .Es muss aber noch verstanden werden, dass es in der Verantwortung des gesamten Unternehmens liegt, wachsam zu sein und sich aktiv für Sicherheit einzusetzen."

Diese Richtlinien, sollen dazu beitragen, die Sicherheit gezielt auf die grundlegenden Geschäfts-prozesse eines Unternehmens abzustimmen. Außerdem sollen sie Sicherheitsexperten helfen, ein sicherheitsorientiertes Arbeitsumfeld zu schaffen und Risiken besser zu managen.

"Die Informationssicherheit als Fachbereich muss sich von ihren Ursprüngen als rein IT-orientierte Disziplin befreien. Obwohl viele Organisationen bereits einen Ethikkodex oder Leitwerte für ihre Mitglieder aufstellen, bieten die Richtlinien etwas Neues, und zwar eine praktische Anleitung für die wirksame Unterstützung der Geschäftsziele. Unsere Untersuchungen bestätigen, dass erfolgreiche Sicherheit im Unternehmen stark davon abhängt, wie gut sie auf die Ziele der Organisation abgestimmt ist. Die neuen Richtlinien stehen allen zur Verfügung, die in der Informationssicherheit tätig sind. Fachkräfte für Informationssicherheit und andere Interessenten haben nun einen gemeinsamen übergreifenden Orientierungsrahmen für ein risikoorientiertes Sicherheitsmanage-ment. Ich bin überzeugt, dass sie nicht nur den Sicherheitsexperten selbst zugute kommen werden, sondern auch Unternehmen, die sie als Grundsätze für ihr Sicherheitsmanagement nutzen können", kommentiert John Colley, CISSP, Managing Director, EMEA, (ISC)2.

Manuel Aceves, CISA, CISM, CGEIT, CRISC, CISSP, FCITSM und Mitglied des Professional Standards Committee der ISACA erläutert weiter: "Weil die Informationssicherheit inzwischen eine so wichtige Rolle im Unternehmen spielt, ist es entscheidend, dass Fachkräfte neben ihren technischen Kenntnissen und Fähigkeiten auch fundierte betriebswirtschaftliche Kompetenzen entwickeln. Die zwölf Richtlinien für Informationssicherheit dienen als Leitfaden, um IT-Sicherheitsfachkräften zu helfen, ihr Unternehmen wirksam zu unterstützen, Best Practices einzuführen und so insgesamt einen Mehrwert zu schaffen. Sie sind zudem eine gute Ergänzung zum Business Model for Information Security (BMIS) der ISACA." ((ISC)2: ma)