|
Information Sicherheit
Stellen Sie Ihre Frage
|
Vier Schritte zur Informationssicherheit
  Vier Schritte zur Informationssicherheit1. Übersichtsbeschaffung über das Informatiksystem
In einem ersten Schritt werden das betroffene Informatiksystem, seine Organisation und sonstige dazugehörende Systeme überprüft. Dies erfolgt mit Hilfe von Computer-Analysesystemen, die auf internationalen Normen basieren. Die Durchführung der Überprüfung durch die Fachleute von KUERT garantiert höchstes Niveau, da diese über verschiedene internationale Prüfungen verfügen.
2. Risikoanalyse
Die zwischen dem tatsächlichen Zustand des Systems und den erwarteten Sicherheitsansprüchen bestehenden Differenzen werden festgestellt. Diese stellen das Risiko für Fehlleistungen des Systems dar und sollen daher in der Folge weitestgehend eliminiert oder zumindest reduziert werden. KUERT stellt auf den erfolgten Untersuchungen aufbauend einen ausführlichen Bericht zusammen, der die Schwachpunkte, Mängel und Risikofaktoren im jeweils vorliegenden Informatiksystem aufdeckt.
3. Risikohandhabung
Das Ziel ist die Festlegung der Möglichkeit, der Art und der zu erwartenden Kosten für die Maßnahmen, die zur Reduzierung der aufgedeckten Risiken erforderlich sind. In der Folge wird eine so genannte Risikomatrix erstellt, mit deren Hilfe die nötigen Schritte nach Priorität und chronologischer Reihenfolge bestimmt werden können.
[Die konkreten Vorschläge sind im Folgenden dargestellt.
Organisationen und Unternehmen jeder Größe können durch Naturkatastrophen und daraus etwa resultierendem Stromausfall, Terrorismus, Betrug oder Geschäftsspionage, Streik und anderen unabwendbaren Ereignissen in unterschiedlichem Maße zu Schaden kommen .Das Ausmaß hängt zu einem Großteil davon ab, wie sehr die inneren funktionalen und administrativen informationstechnologischen Abläufe in Mitleidenschaft gezogen sind.
Wenn die hervorgerufenen Schadenseinwirkungen kritische Abläufe berühren, können die negativen Folgen weit reichend sein: ernster finanzieller Verlust, Verlust des Vertrauens der Kunden und Geschäftspartner, Verlust der Glaubwürdigkeit, Kreditfähigkeit und des guten Rufs der Organisation. In ernsteren Fällen kann auch die Existenz der Organisation bedroht sein. Auch die sekundären Wirkungen dürfen nicht unterschätzt werden, sowohl die Existenz von Arbeitsplätzen im betroffenen Unternehmen als auch die wirtschaftliche Lage der Kunden und der Geschäftspartner kann gefährdet sein. Nicht zuletzt können auch staatliche Einrichtungen betroffen sein, wodurch das Funktionieren des öffentlichen Apparates (Verwaltung, Exekutive, öffentliche Dienstleistungen) erheblich bedroht ist.
Dieser Maßnahmenplan beschäftigt sich damit, das Unternehmen bestmöglich auf solche Schadensfälle vorzubereiten und so die Schäden im Ernstfall möglichst gering zu halten. Ein sorgfältig erstellter und regelmäßig aktualisierter Plan garantiert, dass die Organisation unter allen Umständen zumindest auf Minimalniveau weiter funktionieren kann.
Die Risiken, die die Kontinuität des normalen Betriebsablaufes des installierten Informatiksystems gefährden können, liegen im System selbst und in möglichen Einwirkungen aus der unmittelbaren Umgebung. Das grundlegende Ziel dieses Plans ist es, dafür zu sorgen, dass die informationstechnologischen Dienstleistungen und Ressourcen, die die Abläufe der normalen Funktionsordnung stützen, in der zur Verfügung stehenden Betriebszeit möglichst mit der besten Zeitausnützung und auf dem höchsten funktionellen Niveau arbeiten.
Für jene Teilbereiche eines Unternehmens, bei denen aufgrund ihrer Funktion ein Ausfall des Informatiksystems unannehmbare Folgen mit sich bringen würde, ist ein schriftlich verfasster Maßnahmenkatalog für das Vorgehen im Notfall zu erstellen. Dieser Plan soll die Durchführung jener Tätigkeiten, die für das Aufrechterhalten des Funktionsablaufes im kritischen Falle nötig sind, ermöglichen. Ein solcher sorgfältig geplanter und zusammengestellter Maßnahmenkatalog reduziert im Notfall die Risiken eines völligen Ausfalls des Informatiksystems.]
4. Implementieren des technischen Systems und Zusammenstellen des Vorschriftsystems
Die zur Reduzierung der Informatik-Risikofaktoren ausgearbeiteten Maßnahmen, können erfolgreich nur mit einem entsprechenden Informatik-Vorschriftsystem angewandt werden. Allerdings ist es nur nach der Durchführung einer entsprechenden Risikoanalyse möglich festzustellen, welches Vorschriftsystem bei einer gegebenen Organisation nötig ist.
|
Druckversion