IT-Sicherheitsorganisation und -Policies
Zielsetzung
Sie möchten betriebliche Organisationsstrukturen schaffen, die die Definition und Einhaltung von IT-Sicherheitsvorgaben garantieren. Dies soll Gesetzesverstößen, dem Verlust wichtiger Unternehmensressourcen, Mängelrügen bei der Wirtschaftsprüfung oder geschäftsschädigendem Vertrauensverlust bei Kunden vorbeugen.
Durchführung
Bei der systematischen Entwicklung von Sicherheitsvorgaben unterstütze ich Sie bei der Entwicklung und Durchsetzung innerbetrieblicher Regelwerke. Dabei wird neben der Orientierung an bewährten Standards, wie z. B. den Grundschutzkatalogen des BSI, eine hohe Integration in bereits bestehende Systeme, wie Qualitätsmanagement oder Datenschutzmanagement angestrebt.
Zudem lege ich großen Wert auf die Einbindung verwandter Fragenstellungen aus Datenschutz, Revision und Mitbestimmung um Doppelarbeiten und ineffektive "Parallelwelten" zu vermeiden.
Wie bei vielen Managementsystemen hat sich hierfür ein hierarchischer, modularer Aufbau bewährt, der die Definition von IT-Schutzzielen durch die Unternehmensleitung als Basis verwendet. Hieraus werden konzeptionelle Vorgaben für Systemarten, Nutzergruppen, Anwendungen und Gefährdungsbereiche abgeleitet und geeignet dokumentiert. Sicherheitsrichtlinien zu deren Umsetzung komplettieren die IT-Sicherheitsorganisation.
Typische IT-Sicherheitsprozesse betreffen zum Beispiel:
- die Gestaltung von Zugriffsberechtigungen (Berechtigungskonzepte)
- den Umgang mit gemischter privat-dienstlicher Nutzung (BYOD)
- den Umgang mit mobilen Geräten
- die Gestaltung und Trennung von Backup und Archivierung
- die Passwortsicherheit
Zielgruppe
- Unternehmen, die ihr IT-Sicherheitsniveau systematisch und nachvollziehbar mit Anforderungen aus ihrer Datenschutzorganisation, der Revision oder der Mitbestimmungsorganisation abstimmen möchten.