IT-Sicherheit gewährleisten (211)
Aufgaben, Schlüsselelemente und Audit eines unternehmerischen Informationssicherheits-Managementsystems mit Beispielen, Repetitionsfragen und Antworten
Richard Roth, Johannes Scheuring
Wer heute die IT-Sicherheit eines Unternehmens systematisch und professionell gewährleisten will, kommt um das BSI-Grundschutzhandbuch und die ISO-Norm 17799 nicht herum. Diese beiden «Best-Practice»- Standards haben gleichermassen zu einem umfassenden und zu einem praxisorientierten Verständnis der IT-Sicherheit in Unternehmen beigetragen. Mit dem Standard BS 7799-2 des British Standard Institute wird zusätzlich der Anspruch auf eine Spezifikation und Zertifizierung eines unternehmerischen Informationssicherheits-Managementsystems (ISMS) eingelöst. Die zugrunde liegende Idee und Vorgehensweise entspringen dem Qualitätsmanagement und lassen sich sehr gut mit den Normen ISO 9000 und ISO 14000 in Einklang bringen. Ein ISMS auf dieser Basis stellt zudem die Berücksichtigung internationaler Regulative (wie z. B. der Basel II-Akkord des Basler Komitees für Bankenaufsicht) sicher und entspricht den Anforderungen der Corporate Governance.
Das vorliegende Lehrmittel liefert wichtige Erkenntnisse über den Aufbau und die Auditierung eines unternehmerischen ISMS aufgrund der erwähnten Standards. Im Vordergrund steht vor allem der Aspekt der Kontrolle: IT-Leiter und Sicherheitsbeauftragte müssen in der Lage sein, angemessene Kontrollziele und Kontrollprozesse zu definieren, mit denen die IT-Risiken und die implementierten Sicherheitsmassnahmen wirksam überwacht werden können. Gleichzeitig vermittelt dieses Lehrbuch wertvolles Basiswissen, um Audits durchführen zu lassen oder in Eigenregie durchzuführen.
Das Lehrmittel orientiert sich an den handlungsnotwendigen Kompetenzen, wie sie für das Modul 211 «IT-Sicherheit gewährleisten» im Rahmen der Ausbildung zum eidg. dipl. Wirtschaftsinformatiker definiert sind. Es eignet sich dank verschiedener didaktischer und methodischer Elemente für einen handlungsorientierten Unterricht und kann sowohl für die berufliche Weiterbildung als auch für das Selbststudium eingesetzt werden.