Managementsystem für Informationssicherheit

Statement of the Month: Risikominimierung - Umfang und Ausgestaltung interner Kontrollsysteme werden zunehmend von externen Faktoren bestimmt
Ein integriertes und funktionsfähiges Managementsystem für Informationssicherheit hat in Unternehmen derzeit noch Seltenheitswert

(14.11.07) - Dass die Anforderungen an ein umfassendes IT-Sicherheitskonzept im Unternehmen in den letzten Jahren deutlich gestiegen sind, hat sich inzwischen herumgesprochen. Das liegt nicht nur an einer allgemein gesteigerten Sensibilität gegenüber Fragen der IT-Sicherheit, sondern vor allem an verschärften gesetzlichen und anderen regulatorischen Rahmenbedingungen. Wurden Umfang und Ausgestaltung interner Kontrollsysteme bislang unternehmensintern definiert, gibt es jetzt genaue Vorgaben wie beispielsweise KontraG, SOX oder Basel II. Versäumnisse werden teuer, meist haften direkt die Geschäftsführer und Vorstände. Aber wo soll man anfangen? Was entspricht im Unternehmen eigentlich schon der Norm, und um welche Norm geht es überhaupt? Michael Junk, Consultant Identity & Compliance, Novell Central Europe, erläutert, wie Licht ins Dunkel gebracht werden kann.

Vertraulichkeit, Verfügbarkeit und Integrität der Daten nehmen einen immer höheren Stellenwert in jedem einzelnen Unternehmen ein. Um einen sicheren Umgang mit Daten und informationsverarbeitenden Systemen zu gewährleisten, ist es erforderlich, entsprechende Sicherheitsstandards zu entwickeln und einzuhalten. Insbesondere die Unternehmensleitung muss sich ihrer Verantwortung bewusst werden, denn IT-Sicherheit ist immer Chefsache. Der Sicherheitsprozess muss auf Leitungsebene initiiert und anschließend von allen Beteiligten im Unternehmen mitgetragen und mitgestaltet werden.

Die Studie "Vorteile und Herausforderungen IT-gestützter Compliance-Erfüllung" der Friedrich-Alexander- Universität Erlangen-Nürnberg, Lehrstuhl für Wirtschaftsinformatik III in Zusammenarbeit mit Novell ist hier erhältlich.