- Anzeigen -


Sie sind hier: Home » Literatur » Fachbücher

111021_lit_inf_isf

  Rubrik: Literatur/InformationstechnologieLeitfaden zur Einführung einer Security GovernanceDer neue Report des Information Security Forums zeigt, wie Unternehmen die Vorteile der Information Security Governance nutzen können(21.10.11) - Ein neuer Leitfaden des Information Security Forum (ISF), unabhängige Non-Profit-Organisation für Informationssicherheit, zeigt auf, wie Unternehmen mithilfe einer Security Governance der Informationssicherheit einen höheren Stellenwert verleihen können. Der Bericht mit dem Titel "Information Security Governance - raising the game" skizziert, wie Informationssicherheit mithilfe eines Governance-Ansatzes von der rein technischen Ebene in den Verantwortungsbereich des Managements und damit in einen breiteren geschäftsrelevanten Zusammenhang gebracht werden kann. Der ISF-Bericht bietet praktische Schritt-für-Schritt-Anweisungen anhand eines umfassenden Security-Governance-Modells, das auf der Basis von Mitgliedererfahrungen, Analysen, Forschungsergebnissen, Tools und Workshops entwickelt wurde. Unternehmensweit einheitliche StrategieNach Ansicht des ISF ist eine Corporate Governance, also ein klares Regelwerk zur Steuerung der Unternehmensstruktur, in den meisten Firmen zwar mittlerweile üblich, teilweise sogar verpflichtend. Im Bereich Informationssicherheit wird jedoch häufig auf eine unternehmensweit einheitliche Strategie verzichtet, obwohl das Thema immer bedeutender wird. Liegen im Bereich Informationssicherheit aber einheitliche Richtlinien vor, führt dies zu einer besseren Abstimmung mit dem Top-Management und auch mit anderen Bereichen der Corporate Governance. So lassen sich das gegenseitige Verständnis für das Thema fördern, Risiken senken und damit mögliche Schäden für die Reputation eines Unternehmens vermeiden. Adrian Davis, Autor des Berichts und Principal Analyst beim ISF, kommentiert: "Unternehmensinformationen werden immer komplexer, weil auch die Technologien und Prozesse für deren Verwaltung zunehmend komplexer werden. Gleichzeitig steigt die Gefahr von Attacken und Missbrauch deutlich, wie wir dieses Jahr bereits mehrfach gesehen haben. Der neue Report veranschaulicht, wie Unternehmen Information Security Governance in ihr Corporate-Governance-Konzept integrieren können. Damit demonstrieren sie auch gegenüber ihren "Stakeholdern" - Kunden, Partnern, Aktionären und Behörden - dass sie ihre Daten gemäß branchenweiten Best-Practice-Methoden schützen."Vorteile einer Security GovernanceMithilfe des neuen Leitfadens können Unternehmen folgende Vorteile der Information Security Governance nutzen:Mehrwert für Stakeholder schaffen: Unternehmen können Datensicherheit effektiver und effizienter umsetzen und damit die Anforderungen ihrer Stakeholder besser erfüllen. Gleichzeitig bietet ein entsprechendes Regelwerk ein gutes Umfeld für neue Initiativen und die Integration der Informationssicherheit in die Geschäftsprozesse.Strategische Ziele erreichen: Strategische Ziele lassen sich leichter umsetzen. Zudem können Verantwortliche die Risikobereitschaft im Informationsbereich definieren und verfeinern sowie gleichzeitig aktive Beteiligung und das Erfüllen von Sicherheitsanforderungen fördern.Das Informationsrisiko absichern: Eine Security Governance hilft dabei, Sicherungsprogramme zu überwachen, eine Risikoanalyse zu implementieren, Compliance-Anforderungen zu erfüllen, ein lückenlos nachverfolgbares Risikomanagement umzusetzen sowie Monitoring und Reporting zu Sicherungsmaßnahmen einzuführen."Information Security Governance ist ein relativ neues Konzept, das von vielen Unternehmen noch nicht vollständig erfasst und umgesetzt wird. Dieser Bericht bietet dazu praxisnahe Hilfestellungen", so Adrian Davis weiter. "Er stellt die Schlüsselkomponenten für effektive Security Governance vor und weist auf zusätzliche ISF-Materialien und Informationen hin, mit deren Hilfe Unternehmen prüfen können, ob ihr eingesetztes Governance-Modell den aktuellen Anforderungen gerecht wird. Außerdem werden wichtige Tools zur Kontrolle des eigenen Security Governance-Modells vorgestellt." Der Bericht verweist zudem auf die internationale Norm ISO/IEC 27001, die Unternehmen bei der Entwicklung eines Information-Security-Governance-Modells zusätzlich unterstützen kann. (Information Security Forum: ma)