Ich wähle mit Ihnen gemeinsam ein oder mehrere für Sie passende Frameworks aus und unterstütze Sie bei der Implementierung.
Die letzten Jahre haben gezeigt, dass die rein technische Absicherung und die punktuellen Sicherheitslösungen Unternehmen heute nicht mehr ausreichend vor Angriffen und Schäden schützen können, die mit dem Einsatz der digitalen Datenverarbeitung einher gehen. Konsequenterweise setzt sich mehr und mehr der Ansatz einer unternehmensglobalen Sicht durch, die mit einer Top-Down-Methode die Risiken der geschäftlichen Tätigkeiten im Unternehmen betrachtet. Die Begrifflichkeit geht hin zur Informationssicherheit, die diesen unternehmensweiten Ansatz meint und sich nicht mehr nur auf Daten und IT-Systeme beschränkt sondern auf schützenswerte Unternehmenswerte im Allgemeinen abzielt.
Bevor ein Unternehmen bei null anfängt und ein eigenes Sicherheitssystem aufbaut, ist es sinnvoll, sich für ein oder auch für mehrere existierende Systemmodelle (Frameworks) zu entscheiden. Zu nennen sind z.B.
- ISO/IEC 27001 (branchenübergreifend)
- TISAX (Automobilindustrie)
- KRITIS (kritische Infrastrukturen)
- PCI DSS (Banken)
- BSI IT-Grundschutz (öffentlicher Sektor)
- NIST Publikationen wie das Cybersecurity Framework
Dabei sollte ein Framework nicht so sehr als Ziel verstanden werden, dass es zu erreichen und umzusetzen gilt, sondern es sollte als Startpunkt, als möglicher Weg und Anleitung gesehen werden, mit dem ein System zur Verbesserung der digitalen Sicherheit im Unternehmen eingeführt werden kann.
Um anderen Unternehmen zu zeigen und nachzuweisen, dass ein Managementsystem für die Informationssicherheit nach definierten Vorgaben betrieben wird, ist eine Zertifizierung z.B. nach ISO/IEC 27001 möglich. Antrieb und Grundgedanke sollte aber immer das eigene Bestreben nach Informationssicherheit im Unternehmen sein.
Bei allen Bestrebungen nimmt die oberste Leitung des Unternehmens eine zentrale Rolle ein und ist ein wichtiger, mitwirkender Teil eines Managementsystems für Informationssicherheit.