Leitfaden zur Einführung einer Security Governance
17. Oktober 2011, London/Großbritannien – Ein neuer Leitfaden des Information Security Forum (ISF) (www.securityforum.org), unabhängige Non-Profit-Organisation für Informationssicherheit, zeigt auf, wie Unternehmen mithilfe einer Security Governance der Informationssicherheit einen höheren Stellenwert verleihen können. Der Bericht mit dem Titel „Information Security Governance – raising the game“ skizziert, wie Informationssicherheit mithilfe eines Governance-Ansatzes von der rein technischen Ebene in den Verantwortungsbereich des Managements und damit in einen breiteren geschäftsrelevanten Zusammenhang gebracht werden kann.
Wie jeder neue ISF-Bericht bietet „Information Security Governance – raising the game“ praktische Schritt-für-Schritt-Anweisungen anhand eines umfassenden Security-Governance-Modells, das auf der Basis von Mitgliedererfahrungen, Analysen, Forschungsergebnissen, Tools und Workshops entwickelt wurde. Eine Kurzfassung des Reports ist auf der Website des ISF unter https://www.securityforum.org/?page=publicdownloadisg erhältlich.
Unternehmensweit einheitliche Strategie
Nach Ansicht des ISF ist eine Corporate Governance, also ein klares Regelwerk zur Steuerung der Unternehmensstruktur, in den meisten Firmen zwar mittlerweile üblich, teilweise sogar verpflichtend. Im Bereich Informationssicherheit wird jedoch häufig auf eine unternehmensweit einheitliche Strategie verzichtet, obwohl das Thema immer bedeutender wird. Liegen im Bereich Informationssicherheit aber einheitliche Richtlinien vor, führt dies zu einer besseren Abstimmung mit dem Top-Management und auch mit anderen Bereichen der Corporate Governance. So lassen sich das gegenseitige Verständnis für das Thema fördern, Risiken senken und damit mögliche Schäden für die Reputation eines Unternehmens vermeiden.
Adrian Davis, Autor des Berichts und Principal Analyst beim ISF, kommentiert: „Unternehmensinformationen werden immer komplexer, weil auch die Technologien und Prozesse für deren Verwaltung zunehmend komplexer werden. Gleichzeitig steigt die Gefahr von Attacken und Missbrauch deutlich, wie wir dieses Jahr bereits mehrfach gesehen haben. Der neue Report veranschaulicht, wie Unternehmen Information Security Governance in ihr Corporate-Governance-Konzept integrieren können. Damit demonstrieren sie auch gegenüber ihren „Stakeholdern“ – Kunden, Partnern, Aktionären und Behörden – dass sie ihre Daten gemäß branchenweiten Best-Practice-Methoden schützen.“
Vorteile einer Security Governance
Mithilfe des neuen Leitfadens können Unternehmen folgende Vorteile der Information Security Governance nutzen:
– Mehrwert für Stakeholder schaffen: Unternehmen können Datensicherheit effektiver und effizienter umsetzen und damit die Anforderungen ihrer Stakeholder besser erfüllen. Gleichzeitig bietet ein entsprechendes Regelwerk ein gutes Umfeld für neue Initiativen und die Integration der Informationssicherheit in die Geschäftsprozesse.
– Strategische Ziele erreichen: Strategische Ziele lassen sich leichter umsetzen. Zudem können Verantwortliche die Risikobereitschaft im Informationsbereich definieren und verfeinern sowie gleichzeitig aktive Beteiligung und das Erfüllen von Sicherheitsanforderungen fördern.
– Das Informationsrisiko absichern: Eine Security Governance hilft dabei, Sicherungsprogramme zu überwachen, eine Risikoanalyse zu implementieren, Compliance-Anforderungen zu erfüllen, ein lückenlos nachverfolgbares Risikomanagement umzusetzen sowie Monitoring und Reporting zu Sicherungsmaßnahmen einzuführen.
„Information Security Governance ist ein relativ neues Konzept, das von vielen Unternehmen noch nicht vollständig erfasst und umgesetzt wird. Dieser Bericht bietet dazu praxisnahe Hilfestellungen“, so Adrian Davis weiter. „Er stellt die Schlüsselkomponenten für effektive Security Governance vor und weist auf zusätzliche ISF-Materialien und Informationen hin, mit deren Hilfe Unternehmen prüfen können, ob ihr eingesetztes Governance-Modell den aktuellen Anforderungen gerecht wird. Außerdem werden wichtige Tools zur Kontrolle des eigenen Security Governance-Modells vorgestellt.“ Der Bericht verweist zudem auf die internationale Norm ISO/IEC 27001, die Unternehmen bei der Entwicklung eines Information-Security-Governance-Modells zusätzlich unterstützen kann.
Weitere Informationen zum Information Security Forum sowie der Mitgliedschaft finden sich unter www.securityforum.org.
Das Information Security Forum (ISF) wurde 1989 gegründet und ist eine unabhängige Non-Profit-Organisation, deren Mitglieder namhafte Unternehmen aus der ganzen Welt sind. Ihre Aufgaben sind die Erforschung, Klärung und Lösung wichtiger Probleme der Informationssicherheit sowie die Entwicklung von Best-Practice-Methoden, -Prozessen und -Lösungen, die speziell auf die Geschäftsanforderungen seiner Mitglieder zugeschnitten sind.
ISF-Mitglieder profitieren vom Einsatz und Austausch detaillierten Fachwissens sowie von praktischen Erfahrungen, die auf Erkenntnissen der Mitgliedsunternehmen sowie eines umfassenden Forschungs- und Arbeitsprogramms basieren. Das ISF bietet einen vertrauensvollen Rahmen und unterstützt seine Mitglieder beim Einsatz hochmoderner Strategien und Lösungen im Bereich der Informationssicherheit. Durch die Zusammenarbeit können Mitglieder enorme Ausgaben vermeiden, die sonst erforderlich wären, um diese Ziele im Alleingang zu erreichen.
Weitere Informationen über die Forschungsprojekte des ISF sowie die Mitgliedschaft erhalten Sie unter www.securityforum.org.
Kontakt:
Information Security Forum
Steve Durbin
10-18 Union Street
SE1 1SZ London
+44 (0) 20 7212 1173
www.securityforum.org
mx@securityforum.org
Pressekontakt:
Schwartz Public Relations
Angelika Dester
Sendlinger Straße 42 A
80331 München
ad@schwartzpr.de
+49-(0)89-211871-31
http://www.schwartzpr.de