Sicherheitsmanagement

Sicherheitsmanagement

Sicherheitsmanagement bezeichnet gemäß den beiden Wortbestandteilen Sicherheit und Management die Planung, Steuerung und Kontrolle der Sicherheit in einem privaten oder öffentlichen Unternehmen. Häufig werden die Aufgaben eines Sicherheitsmanagements dabei auf Systeme der Informationstechnik bezogen und auf Aspekte der IT-Sicherheit beschränkt. Dies ist dadurch zu erklären, dass die zunehmende Durchdringung von Unternehmen mit Informationstechnologie zu einer starken Abhängigkeit der Unternehmen von solchen Systemen führt.

Sicherheitsmanagement kann zusätzlich Aspekte der Sicherheit anderer technischer Systeme sowie nicht-technische Aspekte umfassen, beispielsweise in den Bereichen Arbeitssicherheit (gefahrenfreies Arbeiten der Arbeitnehmer am Arbeitsplatz), Betriebssicherheit (störungs- und gefahrenfreie Funktion technischer Anlagen bzw. Maschinen) sowie die Sicherheit von Räumen und Gebäuden.

Inhaltsverzeichnis

Aufgaben des Sicherheitsmanagements

Die Aufgaben des Sicherheitsmanagements können in strategische und operative Aufgaben unterschieden werden, welche jeweils auf alle aufgeführten Bereiche der Sicherheit in Unternehmen bezogen werden können.

Zu den strategische Aufgaben gehören:

Zu den operative Aufgaben gehören:

  • operative Analysen (Risikoanalyse)
  • operative Planung von Maßnahmen und Projekten zur Umsetzung des Sicherheitskonzepts,
  • Organisation von Schulungen und Übungen, in denen sicherheitsrelevante Informationen vermittelt, das richtige Verhalten der Mitarbeiter im Hinblick auf Gefahren erläutert und geübt sowie auf diese Weise Akzeptanz für Sicherheitsmaßnahmen geschaffen wird,
  • operative Kontrolle, d. h. Überprüfung der Umsetzung des Sicherheitskonzepts, der Durchführung der geplanten Maßnahmen, der Einhaltung der Sicherheitsrichtlinien sowie der Wirksamkeit der umgesetzten Sicherheitsmaßnahmen.

Organisatorische Einordnung des Sicherheitsmanagements

Organisatorisch sind die operativen Aufgaben des Sicherheitsmanagements häufig auf funktionale Teilbereiche im Unternehmen verteilt. Die strategischen Aufgaben des Sicherheitsmanagements sollten je nach der Bedeutung der verschiedenen Sicherheitsaspekte für das Unternehmen in der Aufbauorganisation entsprechend hoch angesiedelt und ggf. funktionsübergreifend gebündelt sein. Neben der Zuständigkeit eines Mitglieds der Unternehmensführung ist die Bestellung eines Sicherheitsbeauftragten eine wichtige organisatorische Maßnahme. Während ein Sicherheitsbeauftragter im Bereich Arbeitsschutz nach SGB VII für jedes Unternehmen mit Sitz in Deutschland vorgeschrieben ist, benennen Unternehmen heute für den Bereich der IT-Sicherheit häufig einen speziellen IT-Sicherheitsbeauftragten.

Sicherheitsanalyse

Die Sicherheitsanalyse ist Teil der Tätigkeiten im Rahmen des Sicherheitsmanagements in einer Organisation oder einem Unternehmen. Ziel der Sicherheitsanalyse ist es, Bedrohungen zu erkennen, deren Eintrittswahrscheinlichkeit und Schadenspotenzial einzuschätzen und daraus das Risiko für die Organisation abzuschätzen.

Dieses Vorgehen ist nur schwer zu formalisieren, es ist in Teilbereichen jedoch versucht worden eine Standardisierung, beispielsweise im Rahmen des Standards ISO 17799, zu erreichen.

Mittel der Sicherheitsanalyse sind sowohl technischer Art (darunter Vulnerability Scan und Penetrationstest), als auch prozessorientierter Art (Gespräche mit verantwortlichem Personal oder Datenschützern, Dokumentationsanalysen oder Geschäftsprozessanalyse).

Die Ergebnisse einer Sicherheitsanalyse sollten sich in der Empfehlung und Umsetzung von Maßnahmen zur Steigerung der IT-Sicherheit niederschlagen.

Sicherheitspolitik

Die Sicherheitspolitik umfasst Ziele und Richtlinien der Sicherheit in Unternehmen. Sie beschreibt bezogen auf alle Aspekte der Sicherheit den Soll-Zustand im Hinblick auf das gewünschte Verhalten der Mitarbeiter und bildet somit die Arbeitsgrundlage für alle Unternehmenstätigkeit. Die Sicherheitspolitik sollte im Einklang mit dem Leitbild des Unternehmens stehen und von der Unternehmensführung vertreten werden.

Sicherheitskonzept

Zentraler Bestandteil eines Sicherheitsmanagements ist ein Sicherheitskonzept. Hier werden alle relevanten Rahmenbedingungen, die definierten Sicherheitsziele des Unternehmens sowie Maßnahmen zur Zielerreichung beschrieben bzw. definiert. Das Sicherheitskonzept stellt entsprechend die Basis für die Planung und Durchführung einzelner Sicherheitsmaßnahmen dar. Ziel der Erstellung und Umsetzung eines Sicherheitskonzepts ist das Erreichen eines geplanten Sicherheitsniveaus und die Minimierung identifizierter Risiken. Im Bereich der IT-Sicherheit sind Maßnahmen des IT-Grundschutzes bedeutender Bestandteil des Sicherheitskonzepts in allen Bereichen, in denen eine detaillierte Risikoanalyse nicht wirtschaftlich wäre.

Siehe auch

Literatur

  • Gilbert Brands: IT-Sicherheitsmanagement. Protokolle, Netzwerksicherheit, Prozessorganisation. Springer, Berlin u. a. 2005, ISBN 3-540-24865-X (X.Systems.press).
  • Dieter Burgartz, Ralf Röhrig: Information-Security-Management. Praxishandbuch für Aufbau, Zertifizierung und Betrieb. TÜV Media GmbH, Köln 2003– (Vierteljährliche Aktualisierung), ISBN 3-8249-0711-9.
  • Bundesamt für Sicherheit in der Informationstechnik: IT-Sicherheitsmanagement und IT-Grundschutz. BSI-Standards zur IT-Sicherheit. Bundesanzeiger-Verlag, Köln 2005, ISBN 3-89817-547-2 (Praxiswissen professionals).
  • Lutz J. Heinrich, Franz Lehner: Informationsmanagement. Planung, Überwachung und Steuerung der Informationsinfrastruktur. 8. vollständig überarbeitete und ergänzte Auflage. Oldenbourg Wissenschaftsverlag, München u. a. 2005, ISBN 3-486-57772-7 (Wirtschaftsinformatik).
  • Gabriela Hoppe, Andreas Prieß: Sicherheit von Informationssystemen. Gefahren, Maßnahmen und Management im IT-Bereich. Verlag Neue Wirtschafts-Briefe, Herne u. a. 2003, ISBN 3-482-52571-4 (NWB-Studienbücher Wirtschaftsinformatik).
  • Bernhard Tenckhoff, Silvester Siegmann: Vernetztes Betriebssicherheitsmanagement. (BSM. Qualitätsmanagement, Risiko- und Krisenmanagement, Brandschutz, Umweltschutz, Betriebssicherheit, Arbeits- und Gesundheitsschutz, Datenschutz). Haefner, Heidelberg 2009, ISBN 978-3-87284-061-5.

Wikimedia Foundation.

Игры ⚽ Поможем сделать НИР

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Technisches Sicherheitsmanagement — Kernaufgabe des Technischen Sicherheitsmanagements ist die Unterstützung des eigenverantwortlichen Handelns der Unternehmen und die gleichzeitige Kompetenzstärkung der technischen Selbstverwaltung der Wasser , Strom , Gas und Fernwärmeversorgung… …   Deutsch Wikipedia

  • J2EE Connector Architecture — Die Java EE Connector Architecture (JCA) ist eine Software Architektur und Programmierschnittstelle (API) zur Integration von heterogenen Anwendungen in die Java EE Plattform. Früher wurde der Standard als J2EE Connector Architecture bezeichnet.… …   Deutsch Wikipedia

  • Java EE Connector Architecture — Die Java EE Connector Architecture (JCA) ist eine Software Architektur und Programmierschnittstelle (API) zur Integration von heterogenen Anwendungen in die Java EE Plattform. Die Architektur besteht aus zwei Teilen, den Service Provider… …   Deutsch Wikipedia

  • CISSP — Dieser Artikel oder Abschnitt besteht hauptsächlich aus Listen, an deren Stelle besser Fließtext stehen sollte. Der Certified Information Systems Security Professional (CISSP) ist eine Zertifizierung, die vom International Information Systems… …   Deutsch Wikipedia

  • Common Criteria — Die Common Criteria for Information Technology Security Evaluation (kurz auch Common Criteria oder CC; deutsch etwa: Gemeinsame Kriterien für die Bewertung der Sicherheit von Informationstechnologie) sind ein internationaler Standard über die… …   Deutsch Wikipedia

  • Common criteria — Die Common Criteria for Information Technology Security Evaluation (kurz auch Common Criteria oder CC; deutsch etwa: Gemeinsame Kriterien für die Bewertung der Sicherheit von Informationstechnologie) sind ein internationaler Standard über die… …   Deutsch Wikipedia

  • Computersicherheit — Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw.… …   Deutsch Wikipedia

  • Dataport — AöR Rechtsform AöR Gründung 2004 Sitz Altenholzer Straße 10 14 …   Deutsch Wikipedia

  • Datensicherheit — Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw.… …   Deutsch Wikipedia

  • EDV-Sicherheit — Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw.… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”