Die Begriffe IT-Sicherheit und Informationssicherheit werden häufig synonym verwendet. Informationssicherheit ist allerdings weitreichender als die IT-Sicherheit.
Informationen
Informationen sind alle Daten, die für ein Unternehmen oder eine Person von Wert sind. Dabei stellt sich die zentrale Frage: Was ist für mein Unternehmen relevant?
Werte und Informationen können dabei analog oder digital, materiell oder immateriell sein.
IT - Informationstechnologie
Die Informationstechnologie ist ein Mittel zum Schutz von Informationen.
Die IT ist der Oberbegriff der elektronischen Datenverarbeitung und der dazugehörigen Hard- und Software.
Informationssicherheit und IT-Sicherheit
Um die Informationen eines Unternehmens zu schützen, muss sich das Unternehmen erst einmal bewusst machen, welche schützenswerten Informationen es hat und wo diese „lagern“. Die QualitätsmanagementNorm ISO 9001:2015 beschreibt in Kapitel 4.1 „Verstehen der Organisation und ihres Kontextes“ welche Informationen für ein Unternehmen relevant sind:
„Die Organisation muss externe und interne Themen bestimmen, die für ihren Zweck und ihre strategische Ausrichtung relevant sind […]
[…] Die Organisation muss Informationen über diese […] Themen überwachen und überprüfen.“
Damit ist die Frage nach der Relevanz der Themen für das Unternehmen beantwortet: jegliche Information, die die strategische Ausrichtung oder den Geschäftszweck eines Unternehmens beinhaltet, ist eine schützenswerte Information.
Die Informationssicherheit bezeichnet daher allgemein verschiedene Maßnahmen zum Schutz von Informationen, um wirtschaftliche oder strategische Schäden von einem Unternehmen abzuwenden. Diese Maßnahmen sollen dabei die drei wesentlichen Schutzziele erreichen:
Vertraulichkeit: Daten sind nur für berechtigte Personen verfügbar
Integrität: Die Daten sind richtig und können nicht durch unbefugte Dritte verändert werden
Verfügbarkeit: Die Daten sind vor Verlust geschützt und bei Bedarf verfügbar
Vertraulichkeit, Integrität, Verfügbarkeit
Die IT-Sicherheit bezieht sich auf einen Teilbereich der Informationssicherheit und skizziert dabei technische Maßnahmen, die das Unternehmen ergreifen kann, um elektronische Informationen zu schützen. Die Maßnahmen der Informationssicherheit beziehen dabei auch die physischen und analogen Informationen ein und basieren nicht nur auf technischen Systemen.
Maßnahmen für die Gewährleistung von Informationssicherheit
Um die Informationssicherheit gewährleisten zu können, ist die Erarbeitung eines Schutzkonzeptes erforderlich.
Das Schutzkonzept kann dabei in einem klassischen PDCA-Zyklus erfolgen.
Nach der Aufnahme der Bewertung der schützenswerten Informationen, können angemessene Maßnahmen zur Informationssicherheit getroffen werden.
Dabei sind auch die Vorgaben des Art. 32 der DSGVO zu technischen und organisatorischen Maßnahmen zu berücksichtigen.
Einen guten Anhaltspunkt für Maßnahmen für die Gewährleistung der Informationssicherheit bietet der Anhang A der DIN EN ISO/IEC 27001:2017 sowie das Standard Datenschutzmodell der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder.
Unsere Leistungen
Wir unterstützen Sie gerne bei der Erarbeitung eines Schutzkonzeptes sowie der Einführung, Bewertung und Verbesserung der getroffenen Maßnahmen für die Informationssicherheit. Unsere Leistungen sind dabei so individuell, wie Sie und Ihr Unternehmen.
