Sie sind daher durch das ORM und das ISM, beziehungsweise durch ein funktionierendes ISMS gemäss ISO 27001 vollständig abgedeckt. Aufgrund dieser grundsätzlichen Übereinstimmungen wirken ORM und ISM Hand in Hand. Wenn die Verantwortlichkeiten im Bezug auf ITRisiken innerhalb des ORM und innerhalb des ISMS klar definiert und abgegrenzt sind, bedarf es keiner dritten Instanz, um ein adäquates Management von IT-Risiken sicherstellen zu können.
Üblicherweise übernimmt das ORM im Bezug auf IT-Risiken eine Steuerungs-, Überwachungs- und Kontrollfunktion, während im Rahmen des ISMS die IT-Risiken identifiziert, bewertet und behandelt werden (Risk Identification, Risk Assessment, Risk Treatment).
Reto C. Zbinden ist Fürsprecher und CEO der Swiss Infosec AG.

Definitionen
Informationssicherheit wird definiert als das angemessene und dauernde Gewährleisten der Vertraulichkeit, Integrität und Verfügbarkeit IT-Ressourcen und der damit bearbeiteten oder übertragenen Informationen. Vertraulichkeit bedeutet, dass Informationen und die zu ihrer Bearbeitung und Übertragung verwendeten Schutzobjekte nur Berechtigten zugänglich sind (nur befugter Informationsbezug). Die Vertraulichkeit ist gewährleistet, wenn die als schutzwürdig definierten Schutzobjekte nur berechtigten Subjekten offenbart werden. Integrität bedeutet, dass Informationen oder Teile eines IT-Systems nur durch Berechtigte verändert werden können. Die Integrität ist dann gewährleistet, wenn nur berechtigte Subjekte (Mensch, System oder Funktion) Schutzobjekte (System, Funktion oder Informationsbestände) zu berechtigten Zwecken korrekt bearbeiten, die Schutzobjekte spezifiziert sind und die Bearbeitung nachvollziehbar ist. Korrekt arbeitende Funktionen sind dann gewährleistet, wenn sie integre Schutzobjekte (System, Funktion oder Informationsbestände) in diesem Zustand belassen und/ oder neue Schutzobjekte den Anforderungen entsprechend in einer als integer beschriebenen Form erzeugen.
Verfügbarkeit bedeutet, dass das IT-System und die damit bearbeiteten Informationen den Berechtigten in voller Funktionalität zur Verfügung stehen. Ein berechtigter Benutzer soll nicht abgewiesen werden. Die Verfügbarkeit ist dann gewährleistet, wenn die berechtigten Subjekte dauernd innerhalb der gemeinsam als notwendig definierten Frist auf die zur Durchführung ihrer Aufgaben benötigten Schutzobjekte zugreifen können, die notwendigen Massnahmen erarbeitet, durchgesetzt und eingeübt sind, die es bei Störungen erlauben, die Verfügbarkeit fristgerecht wiederherzustellen beziehungsweise zu sichern

Website


[Vorherige]  1 2 3 4 5 6 7 8 9 10  [Nächste]