Neuer ISF-Leitfaden zur Einführung einer Security Governance

Der Informationssicherheit in Unternehmen einen höheren Stellenwert verleihen

[datensicherheit.de, 20.10.2011] Ein neuer Leitfaden des Information Security Forum (ISF), einer nach eigenen Angaben unabhängigen Non-Profit-Organisation für Informationssicherheit, soll aufzeigen, wie Unternehmen mithilfe einer „Security Governance“ der Informationssicherheit einen höheren Stellenwert verleihen können:
Der Bericht mit dem Titel „Information Security Governance – raising the game“ skizziert, wie Informationssicherheit mithilfe eines Governance-Ansatzes von der rein technischen Ebene in den Verantwortungsbereich des Managements und damit in einen breiteren geschäftsrelevanten Zusammenhang gebracht werden kann.
Geboten werden sollen praktische Schritt-für-Schritt-Anweisungen anhand eines umfassenden Security-Governance-Modells, das auf der Basis von Mitgliedererfahrungen, Analysen, Forschungsergebnissen, Tools und Workshops entwickelt wurde.
Nach Ansicht des ISF ist eine „Corporate Governance“, also ein klares Regelwerk zur Steuerung der Unternehmensstruktur, in den meisten Firmen zwar mittlerweile üblich, teilweise sogar verpflichtend. Im Bereich Informationssicherheit werde jedoch häufig auf eine unternehmensweit einheitliche Strategie verzichtet, obwohl das Thema immer bedeutender werde. Lägen im Bereich Informationssicherheit aber einheitliche Richtlinien vor, führe dies zu einer besseren Abstimmung mit dem Top-Management und auch mit anderen Bereichen der „Corporate Governance“. So ließen sich das gegenseitige Verständnis für das Thema fördern, Risiken senken und damit mögliche Schäden für die Reputation eines Unternehmens vermeiden.
Unternehmensinformationen seien zunehmend komplexer, weil auch die Technologien und Prozesse für deren Verwaltung immer komplexer würden, so Adrian Davis, Autor des Berichts und „Principal Analyst“ beim ISF.
Gleichzeitig steige die Gefahr von Attacken und Missbrauch deutlich, wie das Jahr 2011 bereits mehrfach gezeigt habe. Der neue Report veranschaulichte wie Unternehmen „Information Security Governance“ in ihr Corporate-Governance-Konzept integrieren könnten. Damit demonstrierten sie auch gegenüber ihren „Stakeholdern“ – Kunden, Partnern, Aktionären und Behörden –, dass sie ihre Daten gemäß branchenweiten Best-Practice-Methoden schützten.

Mithilfe des neuen Leitfadens können Unternehmen folgende Vorteile der „Information Security Governance“ nutzen:

• Mehrwert für Stakeholder schaffen: Unternehmen können Datensicherheit effektiver und effizienter umsetzen und damit die Anforderungen ihrer Stakeholder besser erfüllen. Gleichzeitig bietet ein entsprechendes Regelwerk ein gutes Umfeld für neue Initiativen und die Integration der Informationssicherheit in die Geschäftsprozesse.
• Strategische Ziele erreichen: Strategische Ziele lassen sich leichter umsetzen. Zudem können Verantwortliche die Risikobereitschaft im Informationsbereich definieren und verfeinern sowie gleichzeitig aktive Beteiligung und das Erfüllen von Sicherheitsanforderungen fördern.
• Das Informationsrisiko absichern: Eine „Security Governance“ hilft dabei, Sicherungsprogramme zu überwachen, eine Risikoanalyse zu implementieren, Compliance-Anforderungen zu erfüllen, ein lückenlos nachverfolgbares Risikomanagement umzusetzen sowie Monitoring und Reporting zu Sicherungsmaßnahmen einzuführen.

„Information Security Governance“ sei ein relativ neues Konzept, das von vielen Unternehmen noch nicht vollständig erfasst und umgesetzt werde.
Dieser Bericht biete dazu praxisnahe Hilfestellungen, ergänzt Davis. Er stelle die Schlüsselkomponenten für effektive „Security Governance“ vor und weise auf zusätzliche ISF-Materialien und Informationen hin, mit deren Hilfe Unternehmen prüfen könnten, ob ihr eingesetztes Governance-Modell den aktuellen Anforderungen gerecht wird. Außerdem würden wichtige Tools zur Kontrolle des eigenen Security-Governance-Modells vorgestellt. Der Bericht verweise zudem auf die internationale Norm ISO/IEC 27001, die Unternehmen bei der Entwicklung eines Information-Security-Governance-Modells zusätzlich unterstützen könne.

Weitere Informationen zum Thema:

Information Security Forum
Download the ISF’s Information Security Governance Executive Summary / Information Security Governance: raising the game