Informationssicherheit und Qualitätsmanagement – “Quick and Dirty” oder doch lieber richtig machen?

it-sicherheit 39
Fachbeitrag

Häufig stellt sich die Frage, ob sich Informationssicherheit und Qualitätsmanagement ausschließen oder ob zur Wahrung der Informationssicherheit nicht beides gebraucht wird. Die Qualitätssicherung in der Informationssicherheit erfolgt in der heutigen Zeit eher durch Stichproben, als durch gezielte Maßnahmen.

Umsetzung in Unternehmen

Durch stichprobenartige Überprüfungen können Sicherheitslücken zwar aufgedeckt werden, aber wohl selten sind in den Unternehmen die richtigen Verfahren implementiert, um den rechtlichen Anforderungen gerecht zu werden. Dabei kann es sich um Anforderungen nach dem Aktiengesetz (§93 AktG), Bundesdatenschutzgesetz (§9 BDSG), Basel II und III oder dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) handeln.

Schwierigkeiten in der Organisation

Die Organisation von Datenschutz und Datensicherheit fällt den Unternehmen relativ leicht, da die hier zu beachtenden Regelungen in einzelnen Gesetzen zusammengefasst sind.

Im Gegensatz hierzu fällt die Organisation der Informationssicherheit den Unternehmen ungleich schwerer, da die hierbei zu beachtenden Regelungen auf unterschiedlichste Gesetze verteilt sind. Hinzu kommt, das ein kontinuierlicher Soll- IST Vergleich im Bereich Informationssicherheit nicht konsequent durchgeführt wird.

Verantwortlich für die Umsetzung

Das Festlegen einer Informationssicherheitspolitik muss durch die Geschäftsleitung erfolgen, denn sie ist für die Einhaltung der Compliance verantwortlich.

Andere Richtlinien und Konzepte werden überwiegend durch die IT-Abteilungen erstellt, aber das Kontrollieren der selbigen bleibt im Anschluss daran meistens aus.

Relevanz im Unternehmen

Nehmen wir das Beispiel Updates und Antiviren-Pattern: Ein durchdachtes, gelebtes Patch- und Änderungsmanagement ist erforderlich, um alle im Unternehmen eingesetzten IT-Systeme zu erreichen.

Die IT-Infrastruktur eines Unternehmens ist auf Grund neuer Anforderungen, Anwendungen oder Systeme einem ständigen Wandel unterzogen. Um so wichtiger ist es, einen Prozess zur Erhaltung und/oder zur Verbesserung des angestrebten Sicherheitsniveaus einzurichten. Hier empfiehlt es sich auf Nummer sicher zu gehen, statt sich mit “Quick and Dirty” zufrieden zu geben.

Fazit

Die Informationssicherheit und das Qualitätsmanagement basieren beide auf kontinuierlichen Verbesserungen (Plan-Do-Check-Act). Viele Unternehmen haben ein QMS eingeführt oder sind ISO 9001 zertifiziert. Hierfür ist vielfach ein Managementsystem eingeführt worden. Diese lässt sich für weitere Standards (z.B. ISO 27001 Informationssicherheit) nutzen, da sich die Standards in Aufbau und Prozessansatz ähneln. Somit können durch die Synergieeffekte bis zu 30 Prozent an Aufwand für Optimierung, Reviews und Audits eingespart werden.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.