Informationssicherheit im Einklang mit Geschäftszielen

Manchmal wird Informationssicherheit im Unternehmen als lästiges Randthema betrachtet. Durch seine Anforderungen auf den Betrieb beeinflusse es die Geschäftstätigkeit negativ.

Solch eine Wahrnehmung liegt oftmals an einem mangelnden Business-Alignement: Informationssicherheit sollte als wichtiger Unterstützungsprozess betrachtet werden und im Einklang mit den Geschäftszielen stehen.

Wir geben Ihnen drei Tipps zur Verbesserung des Alignements: Dialog, Dialog und Dialog:

1. Dialog mit Geschäftsführung

Sofern Ihr Informationssicherheitsmanagement gemäß ISO 27001 ausgerichtet ist, hat die oberste Leitung bereits durch die Mitgestaltung und Verabschiedung der Informationssicherheit-Leitlinie zum Alignement beigetragen. Doch auch danach ist die kontinuierliche Kommunikation mit der Geschäftsführung essentiell. Zum einen bieten Ihnen das wertvolle Informationen über strategische Entwicklungen, die wiederum ebenfalls das Informationssicherheitsmanagement beeinflussen können. Zum anderen wird das Thema Informationssicherheit dadurch von Führungskräften und Mitarbeitern viel ernster wahrgenommen.

2. Dialog mit Kernprozessverantwortlichen

Im Dialog lernt der Informationssicherheitsbeauftragte die wesentlichen Prozesselemente kennen:

  • Wer ist in dem Prozess involviert?
  • Welche Informationswerte werden benötigt und wie kritisch sind diese für den Prozess?
  • Welche Sorgen, Schwachstellen, Bedrohungen (Risiken) sieht der Verantwortliche?
  • Welche Bedeutung hat der Prozess auf das Unternehmen?

Als Informationssicherheitsbeauftragter können Sie die identifizierten Risiken aufnehmen und beim Informationssicherheitsmanagement weiter berücksichtigten. So zeigt sich für den Prozessverantwortlichen auch ein direkter Nutzen. Wesentliche, identifizierte Risiken können direkt im Risiko Management berücksichtigt werden und der Prozess so gehärtet werden.

3. Dialog über Tätigkeiten

Schließlich empfehle ich Ihnen die Tätigkeit des Informationssicherheitsmanagements wiederum transparent zu kommunizieren und so aufzuzeigen, dass ISMS tatsächlich einen hohen Wert für Ihre Organisation hat. Im Tätigkeitsbericht könnten Sie beispielsweise auf die Reduktion von Risiken eingehen. Auch wenn die Aussagekraft von quantifizierten Risikomanagement im ISMS eher zweifelhaft ist, könnten auch hier konkrete Zahlen eine starke Wirkung hervorbringen. So könnten Sie beispielsweise den Return on Security Invest aufzeigen.

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *