Information Security Management Es lebt! Einblick in ein modernes ISMS

Operationalisieren Sie Governance, Risk und Compliance und vereinfachen Sie so die Einhaltung von Vorschriften und das Eindämmen von Risiken. Innovationen entstehen aus neuen Ideen und neuen Geschäftsanforderungen. Die Umsetzung solcher Innovationen erfolgt auf immer komplexeren IT- und Cloud-Plattformen, wobei die Einhaltung der Vorgaben aus Compliance und Informationssicherheit sichergestellt respektive risikobasiert beurteilt und optimiert werden muss. Es kann ein Spannungsfeld zwischen den jeweiligen Anforderungen, Vorgaben und Umsetzung der Geschäftsanforderungen entstehen. Ein modernes Information Security Management System (ISMS) bildet das Bindeglied zwischen abstrakten Vorgaben und konkreter Umsetzung.

Es lebt! Einblick in ein modernes ISMS
Ganzheitliche und lebbare Governance, Risk und Compliance

Die Umsetzung der Geschäftsanforderungen basiert grundsätzlich auf den organisatorischen und technischen Eigenschaften der IT- und Cloud-Plattformen. Ob und in welchem Umfang so die jeweiligen Anforderungen aus Compliance und Informationssicherheit erfüllt werden, muss risikobasiert beurteilt und gegebenenfalls optimiert werden.

Die Erfahrung zeigt, dass der Abgleich, das Verwalten und risikobasierte Beurteilen der Vorgaben aus Compliance und Informationssicherheit mit den Eigenschaften der IT- und Cloud-Plattformen ein manueller und zeitaufwändiger Prozess ist. Zudem ist es schwierig, effiziente Massnahmen zu identifizieren und diese formell umzusetzen.

Folgend sind die Herausforderungen zusammengefasst:

  • Vorgaben aus Compliance und Informationssicherheit ändern sich, sie werden periodisch überarbeitet und erweitert.
  • Assessments aus Compliance und Informationssicherheit sind zeitintensiv und es ist schwierig, den Vorgaben konkrete organisatorischen und technischen Massnahmen zuzuordnen. Potenzielle Risiken, die zwischen zwei Assessments auftreten, werden nicht erkannt.
  • Vorgaben aus Compliance und Risiken werden oft manuell und isoliert von der Umsetzung von organisatorischen und technischen Massnahmen verwaltet.
  • Es fehlen Anleitungen hinsichtlich der Umsetzung von konkreten Massnahmen, deren Eigenschaften wiederum abhängig sind von den jeweiligen IT- und Cloud-Plattformen.

 

Vereinfachen und zentralisieren

Mit dem Compliance-Manager werden alle zuvor aufgeführten Herausforderungen adressiert. Vorgaben aus Compliance und IT-Sicherheit können zentral verwaltet werden. Konkrete organisatorische und technische Massnahmen, die in unterschiedlichen IT- oder Cloud-Plattformen umgesetzt wurden, können den jeweiligen Vorgaben zugeordnet werden. So kann die Einhaltung der Compliance-Vorgaben und die Bewertung von Risiken effizient und übergeordnet über die unterschiedlichen IT- und Cloud-Plattformen erfolgen.

Der Compliance-Manager unterstützt hierbei die jeweilig aktuellen Vorgaben und gängigen Standards, die auch mit unternehmensspezifischen Anforderungen ergänzt werden können.

Folgend sind die wesentlichen Eigenschaften des Compliance-Managers aufgeführt:

  • Empfehlungen für den Schutz von Daten und Identitäten

Bereitstellen von konkreten organisatorischen und technischen Empfehlungen zum effizienten Schutz von Daten und Identitäten. Im Falle von Cloud-basierten Massnahmen ist das Prinzip der «Verteilten Verantwortung» berücksichtigt.

  • Einhalten von Vorgaben

Bereitstellen von mehr als 325 Vorlagen von Compliance-Vorgaben oder Standards

  • IT Risk Management

Bewerten und überwachen von Risiken unter Einbezug der Vorgaben und umgesetzten Massnahmen

  • Prüfungen und Bewertungen von Massnahmen

Nachweis der Wirksamkeit der Massnahmen gegenüber internen und externen Prüfern mithilfe eines massgeschneiderten Dashboards und einfach zu erstellenden Berichten. Hierbei kann die Bewertung der Umsetzung einer Massnahme, abhängig von der jeweiligen IT- oder Cloud-Plattform, automatisch, halbautomatisch oder manuell erfolgen.

Es lebt! Einblick in ein modernes ISMS

Zum Autor:

Jason Marsch leitet als Head of Security Consulting das Security Consulting Team bei der SITS AG. Als erfahrener Berater bewegt er sich seit über zehn Jahren im Bereich der Informationssicherheit, insbesondere mit Fokus auf die Implementierung von ISMS im Hybrid- sowie Cloudumfeld.

Erstellt: 06.11.2022 07:00 Uhr

Paid Post

Dieser Beitrag wurde von onlineimpact. in Kooperation mit Swiss IT Security AG erstellt. Die Redaktionen von Tages-Anzeiger und Tamedia / TX Group haben keinerlei Einfluss auf die Inhalte.