Standards zur Einführung
Standards zur Einführung
Anwendung im Unternehmen
© unsplash.com - Jason Briscoe
Anwendung im Unternehmen
© unsplash.com - Jason Briscoe
Die Einführung von Standards im Unternehmen erfolgt in drei generischen Schritten:
Auswahl des Standards
In der Regel entscheidet die Geschäftsführung mit Unterstützung des - falls vorhanden - IT-Sicherheitsbeauftragten, IT-Risikobeauftragten und IT-Verantwortlichen den IT-Betrieb vom Unternehmen an einem IT-Sicherheitsstandard auszurichten. Welcher Standard der richtige für ein Unternehmen ist, hängt von einigen Faktoren (siehe Kompass) ab:
Art des Unternehmens
Relevanter Unternehmensbereich für die Standardisierung
Einführung
Die Einführung von IT-Sicherheitsstandards im Unternehmen erfolgt nach dem jeweiligen Vorgehensmodell des ausgewählten Standards. Als Beispiel sei hier das Vorgehensmodell nach BSI IT-Grundschutz aufgeführt:
Abbildung: Vorgehensmodell nach BSI IT-Grundschutz
Die Notwendigkeit der einzelnen Schritte des jeweiligen Vorgehensmodells sollten vor der Einführung auf Relevanz geprüft werden. Anschließend sind die ausgewählten Schritte durchzuführen und die Maßnahmen zur Umsetzung des Standards festzulegen. Hierbei ist zu beachten, dass für die Umsetzung des Modells externes Know-how zugezogen geschult werden sollten. Die Einführung eines Standards ohne externes oder internes Know-how führt in der Regel zu einem höheren Aufwand bei eventuell schlechterem Ergebnis.
Betrieb
Nach der Einführung des Standards müssen die getroffenen Maßnahmen (personell, organisatorisch, technisch) in den regulären Betrieb übergehen. Hierfür sind Mitarbeiterschulungen, -information sowie ggf. Prozessanpassungen notwendig. Im Rahmen des regulären IT-Betriebs kann die Einhaltung des Standards durch zwei aufeinander aufbauende Verfahren überprüft und gewährleistet werden:
Auditierung
Ein wichtiges Element des Vorgehensmodells ist die Einhaltung und Aktualität der Sicherheitsmaßnahmen in regelmäßigen Audits von internen oder externen Partnern zu überprüfen. Mit diesem Vorgehen können Unternehmen ihre IT-Sicherheit immer weiter verbessern und sukzessive Sicherheitslücken schließen.
Im Rahmen eines Audits kommt ein externer (zertifizierter) Auditor für einige Tage ins Unternehmen. Anhand der Vorgaben des Standards sowie der Dokumentation des IT-Betriebs wird der Ist-Stand mit dem Soll-Konzept verglichen. Empfehlungen für die Verbesserung der IT-Sicherheit werden ausgesprochen. Diese sollten vom Unternehmen im Nachgang umgesetzt werden.
Eine Auditierung kann den gesamten IT-Betrieb umfassen, sich aber auch nur auf beispielsweise neu eingesetzte Sicherheitskomponenten beschränken (Beispiel: neue Firewall).
Zertifizierung
Einige IT-Sicherheitsstandards können als Grundlage für eine Zertifizierung herangezogen werden. Ein Zertifikat ist eine unabhängige Bestätigung dafür, dass alle (soweit anwendbare) im Standard geforderten Sicherheitsmaßnahmen zum Zeitpunkt der Zertifizierung dokumentiert und tatsächlich umgesetzt sind. Durch die Ausstellung eines Zertifikates, mit dem die Umsetzung des Standards bestätigt wird, kann dies Dritten transparent gemacht werden. Dritte können hierbei Kunden, Banken, Versicherungen oder auch die Öffentlichkeit sein.
Der Aufwand für die Zertifizierung ist abhängig vom Unternehmen und dem Zertifizierungsziel. Hierbei kann jedoch von einem externen Aufwand von einigen Tagen bis einigen Wochen ausgegangen werden. Der interne Aufwand kann deutlich höher sein, je nach Vorbereitungsstand des Unternehmens. Eine generelle Aussage kann nicht getroffen werden.
Bei der Auswahl des Zertifizierers ist zu beachten, dass einige Standards einen akkreditierten Zertifizierer fordern.