Ein 'Sicherheitskonzept'?
Was? ...
Wann? ...
Wo und warum?
Nehmen wir es ganz pragmatisch: ein Sicherheitskonzept ist ein Nachschlagewerk oder eine Sammlung von Vorgehensanweisungen wie bestimmte Themen aus dem Bereich IT behandelt werden sollen um ein annehmbares Mass an Sicherheit zu gewährleisten.
Das betrifft sowohl externe als auch interne Bedrohungen. Unabhängig von der Größe des Unternehmens wird sich ein solches Konzept fast immer auszahlen. Überdenken Sie einfach, welche Probleme sich ergeben, wenn Ihre Daten vollständig 'abfließen', oder das eingesetzte EDV-System für eine gewisse Zeit komplett ausfällt.
Ein Sicherheitskonzept ist ein schriftliches Dokument, das die Sicherheitsrichtlinien, -maßnahmen und -verfahren einer Organisation oder eines Systems beschreibt. Es wird erstellt, um potenzielle Bedrohungen für das System zu identifizieren und zu minimieren sowie eine effektive Reaktion auf Sicherheitsvorfälle zu gewährleisten.
Ein typisches Sicherheitskonzept umfasst die folgenden Komponenten:
Einleitung: Eine kurze Einführung in das Sicherheitskonzept und seine Bedeutung für die Organisation.
Ziele: Eine Liste der Ziele und Prioritäten des Sicherheitskonzepts, z.B. den Schutz von Informationen, die Sicherung von Vermögenswerten und die Aufrechterhaltung der Geschäftskontinuität.
Bedrohungen: Eine Analyse der Bedrohungen, die das System oder die Organisation beeinträchtigen könnten, einschließlich interner und externer Bedrohungen sowie technischer und nicht-technischer Bedrohungen.
Sicherheitsrichtlinien: Eine Beschreibung der Sicherheitsrichtlinien, die für das System oder die Organisation gelten, z.B. Zugriffskontrollen, Passwortrichtlinien und Sicherheitsüberprüfungen.
Sicherheitsmaßnahmen: Eine Liste der Sicherheitsmaßnahmen, die getroffen werden, um die Sicherheitsrichtlinien umzusetzen, z.B. Firewalls, Verschlüsselung, Antivirus-Software und regelmäßige Sicherheitsaudits.
Notfallmaßnahmen: Eine Beschreibung der Maßnahmen, die im Falle eines Sicherheitsvorfalls ergriffen werden, um die Auswirkungen auf das System oder die Organisation zu minimieren.
Verantwortlichkeiten: Eine Auflistung der Verantwortlichkeiten und Zuständigkeiten im Zusammenhang mit dem Sicherheitskonzept, z.B. wer für die Umsetzung und Überwachung der Sicherheitsmaßnahmen verantwortlich ist.
Schulungen: Eine Beschreibung der Schulungen und Schulungsmaterialien, die den Mitarbeitern zur Verfügung gestellt werden, um sie über die Sicherheitsrichtlinien und -maßnahmen zu informieren und sie in Bezug auf die Identifizierung und Meldung von Sicherheitsbedrohungen zu sensibilisieren.
Ein effektives Sicherheitskonzept sollte regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass es den sich ändernden Bedrohungen und Herausforderungen der Organisation oder des Systems gerecht wird.