Informationssicherheitsmanagement - ISM Aufbau - Versionsgeschichte

JUNGBAUER Christoph am 20. Jänner 2022 um 08:24 Uhr

2022-01-20T08:24:59Z

← Nächstältere Version		Version vom 20. Jänner 2022, 08:24 Uhr
Zeile 847:		Zeile 847:
	#:Strategische Ausrichtung (Strategic Alignment), Risikomanagement (Risk Management), Wertbeitrag (Value Delivery), Ressourcen-Management (Resource Management), Prozess-Sicherheit (Process Assurance).		#:Strategische Ausrichtung (Strategic Alignment), Risikomanagement (Risk Management), Wertbeitrag (Value Delivery), Ressourcen-Management (Resource Management), Prozess-Sicherheit (Process Assurance).
	#''Erklären Sie den Begriff Countermeasures (Gegenmaßnahmen) als notwendige Ressource für die Entwicklung eines Information Security Programs!''		#''Erklären Sie den Begriff Countermeasures (Gegenmaßnahmen) als notwendige Ressource für die Entwicklung eines Information Security Programs!''
	Gegenmaßnahmen (Countermeasures) sind Kontrollen, die als Reaktion auf bestimmte, bekannte Bedrohungen eingesetzt werden. Sie können präventiv, detektiv oder korrektiv (oder eine Kombination davon) sein. Eine Gegenmaßnahme kann beispielsweise sein, einen Spamfilter einzuführen, um Spam-Attacken zu verhindern. Gegenmaßnahmen müssen aber nicht nur technischer Natur sein, sondern können sich auch beispielsweise in Prozessen zeigen.		#:Gegenmaßnahmen (Countermeasures) sind Kontrollen, die als Reaktion auf bestimmte, bekannte Bedrohungen eingesetzt werden. Sie können präventiv, detektiv oder korrektiv (oder eine Kombination davon) sein. Eine Gegenmaßnahme kann beispielsweise sein, einen Spamfilter einzuführen, um Spam-Attacken zu verhindern. Gegenmaßnahmen müssen aber nicht nur technischer Natur sein, sondern können sich auch beispielsweise in Prozessen zeigen.
	#''Erklären Sie den Begriff der Security Baseline!''		#''Erklären Sie den Begriff der Security Baseline!''
	#:Mit Security Baselines werden Mindestkriterien für die Information Security festgelegt. Sie stellen eine spezifische Implementierung eines Standards dar, können – je nach Kritikalität und Sensitivität der Information – in Klassen abgestuft werden und demnach bei Vorliegen von Einteilungskriterien auch gemessen werden. Sie werden ebenfalls als Referenzpunkt herangezogen, quasi als Zielzustand bei Verbesserungsinitiativen.		#:Mit Security Baselines werden Mindestkriterien für die Information Security festgelegt. Sie stellen eine spezifische Implementierung eines Standards dar, können – je nach Kritikalität und Sensitivität der Information – in Klassen abgestuft werden und demnach bei Vorliegen von Einteilungskriterien auch gemessen werden. Sie werden ebenfalls als Referenzpunkt herangezogen, quasi als Zielzustand bei Verbesserungsinitiativen.
	#''Was ist die Aufgabe des Information Security Manager im Rahmen des Managements des Information Security Programs?''		#''Was ist die Aufgabe des Information Security Manager im Rahmen des Managements des Information Security Programs?''
	#:Er ist der operative Koordinations- und Umsetzungsverantwortliche. Er implementiert das Information Security Program gemäß den Vorgaben der Unternehmensaufsicht- und -führung. Er übernimmt Management-Verantwortung in Form von Finanz-, Personal-, Projekt-, Performance Management für Information Security. Auch fungiert der Information Security Manager als eine Art Competence Center für die ihm übergeordneten Hierarchie-Einheiten. Er leitet die Unternehmensaufsicht und -führung im Zuge seiner Tätigkeit an, er sichert deren Beteiligung, fordert deren Unterstützung ein.		#:Er ist der operative Koordinations- und Umsetzungsverantwortliche. Er implementiert das Information Security Program gemäß den Vorgaben der Unternehmensaufsicht- und -führung. Er übernimmt Management-Verantwortung in Form von Finanz-, Personal-, Projekt-, Performance Management für Information Security. Auch fungiert der Information Security Manager als eine Art Competence Center für die ihm übergeordneten Hierarchie-Einheiten. Er leitet die Unternehmensaufsicht und -führung im Zuge seiner Tätigkeit an, er sichert deren Beteiligung, fordert deren Unterstützung ein.

JUNGBAUER Christoph am 20. Jänner 2022 um 08:24 Uhr

2022-01-20T08:24:36Z

JUNGBAUER Christoph am 20. Jänner 2022 um 08:21 Uhr

2022-01-20T08:21:35Z

← Nächstältere Version		Version vom 20. Jänner 2022, 08:21 Uhr
Zeile 835:		Zeile 835:

	#''Nennen Sie die Bestandteile des Information Security Frameworks und geben Sie zu jeder Komponente mögliche Anwendungsbeispiele!''		#''Nennen Sie die Bestandteile des Information Security Frameworks und geben Sie zu jeder Komponente mögliche Anwendungsbeispiele!''

	* '''Technische''' Komponenten bilden die technische Sicherheitsarchitektur		* '''Technische''' Komponenten bilden die technische Sicherheitsarchitektur
	** natürliche Security-Technologien, z.B. Out-of-the-box-Sicherheitsfunktionen, etwa Authentifizierungsmechanismen, Zugriffsprotokollierung oder verschlüsselte SSL-Übertragung eines Webservers		** natürliche Security-Technologien, z.B. Out-of-the-box-Sicherheitsfunktionen, etwa Authentifizierungsmechanismen, Zugriffsprotokollierung oder verschlüsselte SSL-Übertragung eines Webservers
	** zusätzliche Security-Technologien, z.B. Identity Management oder Zugriffsmanagement-Technologien		** zusätzliche Security-Technologien, z.B. Identity Management oder Zugriffsmanagement-Technologien
			Zusätzliche Management-unterstützende Security-Technologien bereiten operative Daten auf und aggregieren diese zu Managementinformation, z.B. SIM-Lösungen, Log Analyzer, Compliance Monitoring Scanner.
	~~<blockquote>~~Zusätzliche Management-unterstützende Security-Technologien bereiten operative Daten auf und aggregieren diese zu Managementinformation, z.B. SIM-Lösungen, Log Analyzer, Compliance Monitoring Scanner.
	~~</blockquote>~~
	* '''Operative''' Komponenten: regelmäßig durchzuführenden Management- und administrativen Tätigkeiten, Standardbetriebstätigkeiten, sicherheitsrelevante Geschäftsprozessaktivitäten oder Wartung und Administration der Sicherheitstechnologien, z.B. Zugriffsberechtigungen, Security Event Monitoring und Analyse, Patching, Konfigurationsmanagement, Change und Release Management, Security Metriken, Messung und Reporting, Incident Response und Resolution		* '''Operative''' Komponenten: regelmäßig durchzuführenden Management- und administrativen Tätigkeiten, Standardbetriebstätigkeiten, sicherheitsrelevante Geschäftsprozessaktivitäten oder Wartung und Administration der Sicherheitstechnologien, z.B. Zugriffsberechtigungen, Security Event Monitoring und Analyse, Patching, Konfigurationsmanagement, Change und Release Management, Security Metriken, Messung und Reporting, Incident Response und Resolution
	* '''Management-relevante''' Komponenten: umfassen strategische Aktivitäten wie Policy-Reviews, Entwicklung und Anpassung von Standards, sowie Überblicks-Kontroll-Tätigkeiten, wie Projektreporting und Controlling.		* '''Management-relevante''' Komponenten: umfassen strategische Aktivitäten wie Policy-Reviews, Entwicklung und Anpassung von Standards, sowie Überblicks-Kontroll-Tätigkeiten, wie Projektreporting und Controlling.
	* '''Administrative''' Komponenten: finanzielle Administrationstätigkeiten, Personalmanagement, Ressourcenmanagement, Schulung, Awareness und Training, Kommunizieren und Akzeptieren von Security Policies, Verhaltensrichtlinien, Verfahren zur sicheren Abarbeitung von Geschäftsfällen, Qualitätssicherungsaktivitäten.		* '''Administrative''' Komponenten: finanzielle Administrationstätigkeiten, Personalmanagement, Ressourcenmanagement, Schulung, Awareness und Training, Kommunizieren und Akzeptieren von Security Policies, Verhaltensrichtlinien, Verfahren zur sicheren Abarbeitung von Geschäftsfällen, Qualitätssicherungsaktivitäten.

	#''Stellen Sie die Rolle Information Security Manager jener des IT Security Managers gegenüber! Welche signifikanten Unterschiede bei den Aufgaben und Verantwortlichkeiten bestehen hierbei?''		#''Stellen Sie die Rolle Information Security Manager jener des IT Security Managers gegenüber! Welche signifikanten Unterschiede bei den Aufgaben und Verantwortlichkeiten bestehen hierbei?''
			Der CISO ist nicht auf IT beschränkt, sondern für den Umgang mit Information im Unternehmen in jeglicher Art und Weise zuständig. Er sollte ein C-Level-Manager und möglichst nicht dem CIO unterstellt sein. Der IT Security Manager ist operativer angesiedelt und technischer Experte. Der CISO bedient sich des IT Security Managers bei technischen Aufgabenstellungen in Bezug auf Information Security.
	~~<blockquote>~~Der CISO ist nicht auf IT beschränkt, sondern für den Umgang mit Information im Unternehmen in jeglicher Art und Weise zuständig. Er sollte ein C-Level-Manager und möglichst nicht dem CIO unterstellt sein. Der IT Security Manager ist operativer angesiedelt und technischer Experte. Der CISO bedient sich des IT Security Managers bei technischen Aufgabenstellungen in Bezug auf Information Security.
	~~</blockquote>~~
	#''Nach welchen Dimensionen wird Information Security Governance beurteilt?''		#''Nach welchen Dimensionen wird Information Security Governance beurteilt?''
			Strategische Ausrichtung (Strategic Alignment), Risikomanagement (Risk Management), Wertbeitrag (Value Delivery), Ressourcen-Management (Resource Management), Prozess-Sicherheit (Process Assurance).
	~~<blockquote>~~Strategische Ausrichtung (Strategic Alignment), Risikomanagement (Risk Management), Wertbeitrag (Value Delivery), Ressourcen-Management (Resource Management), Prozess-Sicherheit (Process Assurance).
	~~</blockquote>~~
	#''Erklären Sie den Begriff Countermeasures (Gegenmaßnahmen) als notwendige Ressource für die Entwicklung eines Information Security Programs!''		#''Erklären Sie den Begriff Countermeasures (Gegenmaßnahmen) als notwendige Ressource für die Entwicklung eines Information Security Programs!''
			Gegenmaßnahmen (Countermeasures) sind Kontrollen, die als Reaktion auf bestimmte, bekannte Bedrohungen eingesetzt werden. Sie können präventiv, detektiv oder korrektiv (oder eine Kombination davon) sein. Eine Gegenmaßnahme kann beispielsweise sein, einen Spamfilter einzuführen, um Spam-Attacken zu verhindern. Gegenmaßnahmen müssen aber nicht nur technischer Natur sein, sondern können sich auch beispielsweise in Prozessen zeigen.
	~~<blockquote>~~Gegenmaßnahmen (Countermeasures) sind Kontrollen, die als Reaktion auf bestimmte, bekannte Bedrohungen eingesetzt werden. Sie können präventiv, detektiv oder korrektiv (oder eine Kombination davon) sein. Eine Gegenmaßnahme kann beispielsweise sein, einen Spamfilter einzuführen, um Spam-Attacken zu verhindern. Gegenmaßnahmen müssen aber nicht nur technischer Natur sein, sondern können sich auch beispielsweise in Prozessen zeigen.
	~~</blockquote>~~
	#''Erklären Sie den Begriff der Security Baseline!''		#''Erklären Sie den Begriff der Security Baseline!''
			Mit Security Baselines werden Mindestkriterien für die Information Security festgelegt. Sie stellen eine spezifische Implementierung eines Standards dar, können – je nach Kritikalität und Sensitivität der Information – in Klassen abgestuft werden und demnach bei Vorliegen von Einteilungskriterien auch gemessen werden. Sie werden ebenfalls als Referenzpunkt herangezogen, quasi als Zielzustand bei Verbesserungsinitiativen.
	~~<blockquote>~~Mit Security Baselines werden Mindestkriterien für die Information Security festgelegt. Sie stellen eine spezifische Implementierung eines Standards dar, können – je nach Kritikalität und Sensitivität der Information – in Klassen abgestuft werden und demnach bei Vorliegen von Einteilungskriterien auch gemessen werden. Sie werden ebenfalls als Referenzpunkt herangezogen, quasi als Zielzustand bei Verbesserungsinitiativen.
	~~</blockquote>~~
	#''Was ist die Aufgabe des Information Security Manager im Rahmen des Managements des Information Security Programs?''		#''Was ist die Aufgabe des Information Security Manager im Rahmen des Managements des Information Security Programs?''
			Er ist der operative Koordinations- und Umsetzungsverantwortliche. Er implementiert das Information Security Program gemäß den Vorgaben der Unternehmensaufsicht- und -führung. Er übernimmt Management-Verantwortung in Form von Finanz-, Personal-, Projekt-, Performance Management für Information Security. Auch fungiert der Information Security Manager als eine Art Competence Center für die ihm übergeordneten Hierarchie-Einheiten. Er leitet die Unternehmensaufsicht und -führung im Zuge seiner Tätigkeit an, er sichert deren Beteiligung, fordert deren Unterstützung ein.
	~~<blockquote>~~Er ist der operative Koordinations- und Umsetzungsverantwortliche. Er implementiert das Information Security Program gemäß den Vorgaben der Unternehmensaufsicht- und -führung. Er übernimmt Management-Verantwortung in Form von Finanz-, Personal-, Projekt-, Performance Management für Information Security. Auch fungiert der Information Security Manager als eine Art Competence Center für die ihm übergeordneten Hierarchie-Einheiten. Er leitet die Unternehmensaufsicht und -führung im Zuge seiner Tätigkeit an, er sichert deren Beteiligung, fordert deren Unterstützung ein.
	~~</blockquote>~~

JUNGBAUER Christoph am 20. Jänner 2022 um 08:20 Uhr

2022-01-20T08:20:05Z

← Nächstältere Version		Version vom 20. Jänner 2022, 08:20 Uhr
Zeile 830:		Zeile 830:
	# Erklären Sie den Begriff der Security Baseline!		# Erklären Sie den Begriff der Security Baseline!
	# Was ist die Aufgabe der/des Information Security Manager*in im Rahmen des Managements des Information Security Programs?		# Was ist die Aufgabe der/des Information Security Manager*in im Rahmen des Managements des Information Security Programs?

			<br><hr><br>
			Lösungen

			#''Nennen Sie die Bestandteile des Information Security Frameworks und geben Sie zu jeder Komponente mögliche Anwendungsbeispiele!''

			* '''Technische''' Komponenten bilden die technische Sicherheitsarchitektur
			** natürliche Security-Technologien, z.B. Out-of-the-box-Sicherheitsfunktionen, etwa Authentifizierungsmechanismen, Zugriffsprotokollierung oder verschlüsselte SSL-Übertragung eines Webservers
			** zusätzliche Security-Technologien, z.B. Identity Management oder Zugriffsmanagement-Technologien

			<blockquote>Zusätzliche Management-unterstützende Security-Technologien bereiten operative Daten auf und aggregieren diese zu Managementinformation, z.B. SIM-Lösungen, Log Analyzer, Compliance Monitoring Scanner.
			</blockquote>
			* '''Operative''' Komponenten: regelmäßig durchzuführenden Management- und administrativen Tätigkeiten, Standardbetriebstätigkeiten, sicherheitsrelevante Geschäftsprozessaktivitäten oder Wartung und Administration der Sicherheitstechnologien, z.B. Zugriffsberechtigungen, Security Event Monitoring und Analyse, Patching, Konfigurationsmanagement, Change und Release Management, Security Metriken, Messung und Reporting, Incident Response und Resolution
			* '''Management-relevante''' Komponenten: umfassen strategische Aktivitäten wie Policy-Reviews, Entwicklung und Anpassung von Standards, sowie Überblicks-Kontroll-Tätigkeiten, wie Projektreporting und Controlling.
			* '''Administrative''' Komponenten: finanzielle Administrationstätigkeiten, Personalmanagement, Ressourcenmanagement, Schulung, Awareness und Training, Kommunizieren und Akzeptieren von Security Policies, Verhaltensrichtlinien, Verfahren zur sicheren Abarbeitung von Geschäftsfällen, Qualitätssicherungsaktivitäten.

			#''Stellen Sie die Rolle Information Security Manager jener des IT Security Managers gegenüber! Welche signifikanten Unterschiede bei den Aufgaben und Verantwortlichkeiten bestehen hierbei?''

			<blockquote>Der CISO ist nicht auf IT beschränkt, sondern für den Umgang mit Information im Unternehmen in jeglicher Art und Weise zuständig. Er sollte ein C-Level-Manager und möglichst nicht dem CIO unterstellt sein. Der IT Security Manager ist operativer angesiedelt und technischer Experte. Der CISO bedient sich des IT Security Managers bei technischen Aufgabenstellungen in Bezug auf Information Security.
			</blockquote>
			#''Nach welchen Dimensionen wird Information Security Governance beurteilt?''

			<blockquote>Strategische Ausrichtung (Strategic Alignment), Risikomanagement (Risk Management), Wertbeitrag (Value Delivery), Ressourcen-Management (Resource Management), Prozess-Sicherheit (Process Assurance).
			</blockquote>
			#''Erklären Sie den Begriff Countermeasures (Gegenmaßnahmen) als notwendige Ressource für die Entwicklung eines Information Security Programs!''

			<blockquote>Gegenmaßnahmen (Countermeasures) sind Kontrollen, die als Reaktion auf bestimmte, bekannte Bedrohungen eingesetzt werden. Sie können präventiv, detektiv oder korrektiv (oder eine Kombination davon) sein. Eine Gegenmaßnahme kann beispielsweise sein, einen Spamfilter einzuführen, um Spam-Attacken zu verhindern. Gegenmaßnahmen müssen aber nicht nur technischer Natur sein, sondern können sich auch beispielsweise in Prozessen zeigen.
			</blockquote>
			#''Erklären Sie den Begriff der Security Baseline!''

			<blockquote>Mit Security Baselines werden Mindestkriterien für die Information Security festgelegt. Sie stellen eine spezifische Implementierung eines Standards dar, können – je nach Kritikalität und Sensitivität der Information – in Klassen abgestuft werden und demnach bei Vorliegen von Einteilungskriterien auch gemessen werden. Sie werden ebenfalls als Referenzpunkt herangezogen, quasi als Zielzustand bei Verbesserungsinitiativen.
			</blockquote>
			#''Was ist die Aufgabe des Information Security Manager im Rahmen des Managements des Information Security Programs?''

			<blockquote>Er ist der operative Koordinations- und Umsetzungsverantwortliche. Er implementiert das Information Security Program gemäß den Vorgaben der Unternehmensaufsicht- und -führung. Er übernimmt Management-Verantwortung in Form von Finanz-, Personal-, Projekt-, Performance Management für Information Security. Auch fungiert der Information Security Manager als eine Art Competence Center für die ihm übergeordneten Hierarchie-Einheiten. Er leitet die Unternehmensaufsicht und -führung im Zuge seiner Tätigkeit an, er sichert deren Beteiligung, fordert deren Unterstützung ein.
			</blockquote>

KLAUSNER Daniela am 13. Jänner 2022 um 17:23 Uhr

2022-01-13T17:23:03Z

Änderungen zeigen

KLAUSNER Daniela am 13. Jänner 2022 um 16:58 Uhr

2022-01-13T16:58:13Z

KLAUSNER Daniela am 13. Jänner 2022 um 11:12 Uhr

2022-01-13T11:12:15Z

KLAUSNER Daniela am 13. Jänner 2022 um 10:50 Uhr

2022-01-13T10:50:08Z

Änderungen zeigen

KLAUSNER Daniela am 13. Jänner 2022 um 10:02 Uhr

2022-01-13T10:02:37Z

Änderungen zeigen

KLAUSNER Daniela am 13. Jänner 2022 um 09:31 Uhr

2022-01-13T09:31:16Z

← Nächstältere Version		Version vom 13. Jänner 2022, 09:31 Uhr
Zeile 419:		Zeile 419:
	Steuerungsaktivitäten sind Abläufe und Praktiken, die hinreichende Sicherheit für das Erreichen von Geschäftszielen bieten. Aus dem Rahmen fallende Ereignisse sollen durch sie verhindert, aufgedeckt oder korrigiert werden. Steuerungsaktivitäten können physischer, technischer oder prozessorientierter Natur sein. Die Auswahl und die Gestaltung der Steuerungsaktivitäten basiert auf deren Effektivität, Risikominimierungspotential, aber insbesondere auch auf deren Aufwand, Kosten oder Restriktionen auf das Business. Die Summe sämtlicher (Schlüssel-) Steuerungsaktivitäten bildet ein Internes Kontrollsystem (IKS). Dabei werden durch die Gesamtstruktur sich gegenseitig absichernde Security Controls implementiert, die diese auf verschiedenen Ebenen anbringt („layered defense“). Insgesamt entsteht dadurch eine Art Netz von Steuerungsaktivitäten, die sich so gegenseitig absichern. Somit kann ein nicht entdeckter Fehler in der einen Aktivität noch durch eine andere Aktivität aufgedeckt werden. In der IT existiert mit COBIT eine ganzheitliche, etablierte und allgemein anerkannte Sammlung von Zielen für Steuerungsaktivitäten.		Steuerungsaktivitäten sind Abläufe und Praktiken, die hinreichende Sicherheit für das Erreichen von Geschäftszielen bieten. Aus dem Rahmen fallende Ereignisse sollen durch sie verhindert, aufgedeckt oder korrigiert werden. Steuerungsaktivitäten können physischer, technischer oder prozessorientierter Natur sein. Die Auswahl und die Gestaltung der Steuerungsaktivitäten basiert auf deren Effektivität, Risikominimierungspotential, aber insbesondere auch auf deren Aufwand, Kosten oder Restriktionen auf das Business. Die Summe sämtlicher (Schlüssel-) Steuerungsaktivitäten bildet ein Internes Kontrollsystem (IKS). Dabei werden durch die Gesamtstruktur sich gegenseitig absichernde Security Controls implementiert, die diese auf verschiedenen Ebenen anbringt („layered defense“). Insgesamt entsteht dadurch eine Art Netz von Steuerungsaktivitäten, die sich so gegenseitig absichern. Somit kann ein nicht entdeckter Fehler in der einen Aktivität noch durch eine andere Aktivität aufgedeckt werden. In der IT existiert mit COBIT eine ganzheitliche, etablierte und allgemein anerkannte Sammlung von Zielen für Steuerungsaktivitäten.

	''Beispiel: Einmal jährlich evaluiert der Durchführende die technischen Authentifzierungsmechanismen auf den Kernsystemen, -applikationen und -datenbanken. Er vergleicht die Ergebnisse mit den Vorgaben aus der IT Security Policy. Eventuelle Abweichungen werden identifiziert und im Rahmen des Risikomanagements bewertet und in deren Defizitliste eingepflegt. Das Review wird dokumentiert und dem CISO per Email übermittelt.''		''Beispiel: Einmal jährlich evaluiert die/der Durchführende die technischen Authentifzierungsmechanismen auf den Kernsystemen, -applikationen und -datenbanken. Sie/er vergleicht die Ergebnisse mit den Vorgaben aus der IT Security Policy. Eventuelle Abweichungen werden identifiziert und im Rahmen des Risikomanagements bewertet und in deren Defizitliste eingepflegt. Das Review wird dokumentiert und dem CISO per Email übermittelt.''

	Es ist festzuhalten, dass im Rahmen der Information Security auch Nicht-IT-Aktivitäten zu betrachten sind. Aspekte aus der physischen Sicherheit, dem Social Engineering, allgemeine Identifikation, Umgang und Speicherung von Information im Rahmen des Geschäftsprozesses müssen evaluiert werden. Auch sind applikationsspezifische IT-Steuerungsaktivitäten neben den allgemeinen (IT General Controls - ITGC) zu betrachten. Das sind jene Aktivitäten und Mechanismen, die inhaltlich dem Geschäftsprozess zuzuordnen sind, aber von IT-Mechanismen abhängig sind. Als Beispiel sind Eingabekontrollen zu nennen, etwa Prüfung auf Schwellwerte oder Plausibilität [CIS10, S61f][COB07].		Es ist festzuhalten, dass im Rahmen der Information Security auch Nicht-IT-Aktivitäten zu betrachten sind. Aspekte aus der physischen Sicherheit, dem Social Engineering, allgemeine Identifikation, Umgang und Speicherung von Information im Rahmen des Geschäftsprozesses müssen evaluiert werden. Auch sind applikationsspezifische IT-Steuerungsaktivitäten neben den allgemeinen (IT General Controls - ITGC) zu betrachten. Das sind jene Aktivitäten und Mechanismen, die inhaltlich dem Geschäftsprozess zuzuordnen sind, aber von IT-Mechanismen abhängig sind. Als Beispiel sind Eingabekontrollen zu nennen, etwa Prüfung auf Schwellwerte oder Plausibilität [CIS10, S61f][COB07].

← Nächstältere Version		Version vom 13. Jänner 2022, 16:58 Uhr
Zeile 697:		Zeile 697:
	== People ==		== People ==

	Natürlich steht Information Security – wie im vorigen Abschnitt dargelegt – in der Verantwortung jeder Mitarbeiterin. Nichtsdestotrotz gibt es bestimmte Schlüsselrollen und spezielle Verantwortungen für Information Security, die nun in diesem Kapitel näher diskutiert werden.		Natürlich steht Information Security – wie im vorigen Abschnitt dargelegt – in der Verantwortung jeder Mitarbeiterin bzw. jedes Mitarbeiters. Nichtsdestotrotz gibt es bestimmte Schlüsselrollen und spezielle Verantwortungen für Information Security, die nun in diesem Kapitel näher diskutiert werden.

	=== Rollen und Verantwortlichkeiten ===		=== Rollen und Verantwortlichkeiten ===
Zeile 703:		Zeile 703:
	Die Rollen, die im Rahmen von Sicherheitsthemen in einem Unternehmen definiert werden, hängen von verschiedenen Kriterien ab, wie z.B. Größe des Unternehmens, Gefahrenpotenzial, Branche, Schutzwürdigkeit von Daten etc.		Die Rollen, die im Rahmen von Sicherheitsthemen in einem Unternehmen definiert werden, hängen von verschiedenen Kriterien ab, wie z.B. Größe des Unternehmens, Gefahrenpotenzial, Branche, Schutzwürdigkeit von Daten etc.

	Gründe für die Nominierung eines dezidierten Security Management Teams (SMT) sind u.a. das Bewahren eines Wettbewerbsvorteils, indem die Geheimnisse und Prozesse, die für den Wettbewerbsvorteil sorgen, geschützt werden. Durch eine ausreichende Sicherheit wird auch der Ruf des Unternehmens geschützt. Beispiele, wo Daten durch Attacken an die Öffentlichkeit gelangten oder Software über Stunden oder Tage nicht zugänglich waren, gelangen unverzüglich an die Öffentlichkeit. Das Vertrauen der ~~Kunden~~ kann innerhalb kürzester Zeit ruiniert sein. Und nicht zuletzt kann das Team in Zusammenarbeit mit dem Compliance Officer, der Internen Revision und der Rechtsabteilung dafür sorgen, dass diesbezügliche Gesetze und Regelungen eingehalten werden. Erfolgsfaktor für die Arbeit ist die uneingeschränkte Unterstützung der Geschäftsführung oder des Vorstandes. [ISM03,S263].		Gründe für die Nominierung eines dezidierten Security Management Teams (SMT) sind u.a. das Bewahren eines Wettbewerbsvorteils, indem die Geheimnisse und Prozesse, die für den Wettbewerbsvorteil sorgen, geschützt werden. Durch eine ausreichende Sicherheit wird auch der Ruf des Unternehmens geschützt. Beispiele, wo Daten durch Attacken an die Öffentlichkeit gelangten oder Software über Stunden oder Tage nicht zugänglich waren, gelangen unverzüglich an die Öffentlichkeit. Das Vertrauen der Kund*innen kann innerhalb kürzester Zeit ruiniert sein. Und nicht zuletzt kann das Team in Zusammenarbeit mit dem Compliance Officer, der Internen Revision und der Rechtsabteilung dafür sorgen, dass diesbezügliche Gesetze und Regelungen eingehalten werden. Erfolgsfaktor für die Arbeit ist die uneingeschränkte Unterstützung der Geschäftsführung oder des Vorstandes. [ISM03,S263].

	Organisatorisch kann das Team zentral oder dezentral angesiedelt sein. Diese Entscheidung wird zumeist aufgrund des eingeschätzten Risikos getroffen, ist jedoch schlussendlich eine individuelle Entscheidung des Unternehmens.		Organisatorisch kann das Team zentral oder dezentral angesiedelt sein. Diese Entscheidung wird zumeist aufgrund des eingeschätzten Risikos getroffen, ist jedoch schlussendlich eine individuelle Entscheidung des Unternehmens.

	* Zentrales Security Management Team:		* Zentrales Security Management Team:
	Das zentrale SMT ist alleinig verantwortlich für das Security Management Program und berichtet direkt an den Information Security Manager. Die Aufgaben umfassen auch die Kommunikation und Bewerbung von Sicherheitsthemen im Unternehmen, Implementieren von Sicherheitsinitiativen und Durchführung von täglichen Sicherheitsadministrationsaufgaben (wie z.B. Zugangskontrollen).		Das zentrale SMT ist alleinig verantwortlich für das Security Management Program und berichtet direkt an die/den Information Security Manager*in. Die Aufgaben umfassen auch die Kommunikation und Bewerbung von Sicherheitsthemen im Unternehmen, Implementieren von Sicherheitsinitiativen und Durchführung von täglichen Sicherheitsadministrationsaufgaben (wie z.B. Zugangskontrollen).

	* Dezentrales Security Management Team:		* Dezentrales Security Management Team:
Zeile 716:		Zeile 716:
	In manchen Fällen werden Kombinationen von einer zentralen Organisationseinheit mit dezentralen Sicherheitsverantwortlichen umgesetzt. Dies hat den Vorteil, dass das zentrale Team den Überblick bewahrt und unternehmensweite Sicherheitsinitiativen umsetzen kann. Die dezentralen Sicherheitsverantwortlichen kümmern sich um die administrativen und abteilungsbezogenen Aufgaben.		In manchen Fällen werden Kombinationen von einer zentralen Organisationseinheit mit dezentralen Sicherheitsverantwortlichen umgesetzt. Dies hat den Vorteil, dass das zentrale Team den Überblick bewahrt und unternehmensweite Sicherheitsinitiativen umsetzen kann. Die dezentralen Sicherheitsverantwortlichen kümmern sich um die administrativen und abteilungsbezogenen Aufgaben.

	Zu berücksichtigen bei der Umsetzung ist die Einbindung in die Reportingstruktur des Unternehmens und die Ansiedelung am Ort der maximalen Entscheidungsbefugnis und Commitment. Die oberste Führungsebene muss das Security Program maximal unterstützen. Doch auch auf den unteren Führungsebenen bis ~~zum~~ Endanwender muss eine Durchgängigkeit der Maßnahmen gewährleistet werden. Folgende acht Rollen zusätzlich zum Informationssicherheitsmanagement sind in einer Organisation in die Informationssicherheit eingebunden [ISM03, S266f]:		Zu berücksichtigen bei der Umsetzung ist die Einbindung in die Reportingstruktur des Unternehmens und die Ansiedelung am Ort der maximalen Entscheidungsbefugnis und Commitment. Die oberste Führungsebene muss das Security Program maximal unterstützen. Doch auch auf den unteren Führungsebenen bis zu den Endanwender*innen muss eine Durchgängigkeit der Maßnahmen gewährleistet werden. Folgende acht Rollen zusätzlich zum Informationssicherheitsmanagement sind in einer Organisation in die Informationssicherheit eingebunden [ISM03, S266f]:

	# Geschäftsführung, Vorstand (Executive Management) sind für den Erfolg der Informationssicherheitsaktivitäten verantwortlich und daher verantwortlich für die Ausstattung von ~~ausreichen~~ Ressourcen und Unterstützung.		# Geschäftsführung, Vorstand (Executive Management) sind für den Erfolg der Informationssicherheitsaktivitäten verantwortlich und daher verantwortlich für die Ausstattung von ausreichenden Ressourcen und Unterstützung.
	# ~~Informationssicherheitsexperten~~ (Information Security Professionals) sind ~~Experten~~, die für das Design, Implementierung, Management und Review von Sicherheitsrichtlinien, -standards, -maßnahmen, -methoden und -~~prozesse~~ zuständig sind.		# Informationssicherheitsexpertinnen (Information Security Professionals) sind Expertinnen, die für das Design, Implementierung, Management und Review von Sicherheitsrichtlinien, -standards, -maßnahmen, -methoden und -prozessen zuständig sind.
	# Dateneigner (Data Owner) klassifizieren die verantworteten Daten in Schutzwürdigkeit und sorgen für die Datenintegrität und Datenqualität.		# Dateneigner (Data Owner) klassifizieren die verantworteten Daten in Schutzwürdigkeit und sorgen für die Datenintegrität und Datenqualität.
	# Datenverwalter (Custodians) sind Mitarbeiter der Dateneigner, die sich um die Datensicherung und Wiederherstellung kümmern. Sie betreiben das betreffende System und sorgen für die Einhaltung von definierten Sicherheitsmaßnahmen und Richtlinien.		# Datenverwalter (Custodians) sind Mitarbeiter*innen der Dateneigner, die sich um die Datensicherung und Wiederherstellung kümmern. Sie betreiben das betreffende System und sorgen für die Einhaltung von definierten Sicherheitsmaßnahmen und Richtlinien.
	# Prozesseigner (Process Owner) sorgen für die Umsetzung von Sicherheitsrichtlinien in ihrem verantworteten Prozess und dabei beteiligten IT-Systemen.		# Prozesseigner (Process Owner) sorgen für die Umsetzung von Sicherheitsrichtlinien in ihrem verantworteten Prozess und dabei beteiligten IT-Systemen.
	# ~~Technologieexperten~~ (Technology Providers) sind ~~Experten~~ für Sicherheitstechnologien.		# Technologieexpertinnen (Technology Providers) sind Expertinnen für Sicherheitstechnologien.
	# Nutzer (Users) sind die Anwender der zur Verfügung gestellten Systeme und Infrastruktur im Unternehmen. Sie müssen die Sicherheitsrichtlinien kennen und sich danach richten.		# Nutzerinnen (Users) sind die Anwenderinnen der zur Verfügung gestellten Systeme und Infrastruktur im Unternehmen. Sie müssen die Sicherheitsrichtlinien kennen und sich danach richten.
	# Informationssicherheits-~~Auditoren~~ (Information Security Auditors) überprüfen die Zweckmäßigkeit und die Umsetzung von Sicherheitsmaßnahmen zur Erreichung der Sicherheitsziele des Unternehmens. (siehe auch Kapitel IT Audits)		# Informationssicherheits-Auditor*innen (Information Security Auditors) überprüfen die Zweckmäßigkeit und die Umsetzung von Sicherheitsmaßnahmen zur Erreichung der Sicherheitsziele des Unternehmens (siehe auch Kapitel IT Audits).
	Die folgende Beschreibung bezieht sich sowohl auf spezielle Rollen, als auch auf Verantwortung für bestimmte Unternehmensbereiche.		Die folgende Beschreibung bezieht sich sowohl auf spezielle Rollen, als auch auf die Verantwortung für bestimmte Unternehmensbereiche.

	==== Information Security Risk Management ====		==== Information Security Risk Management ====

	Information Security Risk Management ist ein integraler Bestandteil von ~~Informationssicheheitsmanagement~~. Dementsprechend muss die Verantwortung für Risikomanagement in der Hierarchie hoch angesiedelt werden, um einen nachhaltigen kontinuierlichen Verbesserungsprozess sicherzustellen. Iterative Überprüfung, Berichtsstrukturen oder explizite Zuweisung von Verantwortlichkeiten sind ganz wesentliche Instrumente dafür.		Information Security Risk Management ist ein integraler Bestandteil von Informationssicherheitsmanagement. Dementsprechend muss die Verantwortung für Risikomanagement in der Hierarchie hoch angesiedelt werden, um einen nachhaltigen kontinuierlichen Verbesserungsprozess sicherzustellen. Iterative Überprüfung, Berichtsstrukturen oder explizite Zuweisung von Verantwortlichkeiten sind ganz wesentliche Instrumente dafür.

	'''Unternehmensaufsicht'''		'''Unternehmensaufsicht'''
Zeile 746:		Zeile 746:
	'''Chief Information Security Officer (CISO)'''		'''Chief Information Security Officer (CISO)'''

	~~Der~~ Chief Information Security Officer (CISO) ist für das Information Security Program zuständig, das auf Information Security Risk Management basiert. Er bekleidet also eine wichtige Rolle für die angewandte Methodik für die Identifikation, die Evaluierung und die Minimierung von Risiken. ~~Der~~ CISO agiert als Hauptansprechpartner für das Management hinsichtlich der Information Security Risk Management Aktivitäten.		Die/der Chief Information Security Officer (CISO) ist für das Information Security Program zuständig, das auf Information Security Risk Management basiert. Sie/er bekleidet also eine wichtige Rolle für die angewandte Methodik für die Identifikation, die Evaluierung und die Minimierung von Risiken. Die/der CISO agiert als Hauptansprechpartner*in für das Management hinsichtlich der Information Security Risk Management Aktivitäten.

	'''System- und Informationsverantwortliche'''		'''System- und Informationsverantwortliche'''

	Die System- und ~~informationsverantwortlichen~~ stellen sicher, dass adäquate Steuerungsaktivitäten die Vertraulichkeit, die Integrität und die Verfügbarkeit der IT-Systeme und der Daten, die diese verwalten, gewährleisten. Sie sind verantwortlich für das Change Management ihrer Systeme, prüfen und autorisieren Änderungsanträge.		Die System- und Informationsverantwortlichen stellen sicher, dass adäquate Steuerungsaktivitäten die Vertraulichkeit, die Integrität und die Verfügbarkeit der IT-Systeme und der Daten, die diese verwalten, gewährleisten. Sie sind verantwortlich für das Change Management ihrer Systeme, prüfen und autorisieren Änderungsanträge.

	'''Business Manager und Führungskräfte'''		'''Business Manager*in und Führungskräfte'''

	Die Kerngeschäftsverantwortlichen und leitenden ~~Mitarbeiterinnen~~ sind für die operative Geschäftstätigkeit verantwortlich und müssen daher auch eine aktive Rolle im Risikomanagementprozess übernehmen. Sie treffen täglich Entscheidungen über das korrekte Vorgehen bei Einzelfällen und können sehr viel beitragen, wie bestehende Prozesse und Systeme mit minimalem Aufwand und Ressourceneinsatz mit möglichst geringem Risiko durchgeführt oder verwendet werden.		Die Kerngeschäftsverantwortlichen und leitenden Mitarbeiter*innen sind für die operative Geschäftstätigkeit verantwortlich und müssen daher auch eine aktive Rolle im Risikomanagementprozess übernehmen. Sie treffen täglich Entscheidungen über das korrekte Vorgehen bei Einzelfällen und können sehr viel beitragen, wie bestehende Prozesse und Systeme mit minimalem Aufwand und Ressourceneinsatz mit möglichst geringem Risiko durchgeführt oder verwendet werden.

	'''Sicherheitsfachleute'''		'''Sicherheitsfachleute'''

	Techniker, Berater und Praktiker stellen die operative Umsetzung in ihren IT Systemen sicher. Sie setzen Änderungen in den Systemen um und können umgekehrt wertvolles Feedback für neue oder sich ändernde potentielle Risiken oder ~~neuen~~ Steuerungsaktivitäten geben.		Technikerinnen, Beraterinnen und Praktiker*innen stellen die operative Umsetzung in ihren IT Systemen sicher. Sie setzen Änderungen in den Systemen um und können umgekehrt wertvolles Feedback für neue oder sich ändernde potentielle Risiken oder neue Steuerungsaktivitäten geben.

	'''Security Awareness Trainer'''		'''Security Awareness Trainer*in'''

	Im Zuge einer ständigen Risikominimierung müssen sämtliche ~~Mitarbeiterinnen~~ mit dem Thema Security und Risikomanagement konfrontiert werden. Durch Trainings, Schulungen, Verlautbarungen und Aktionen muss das Thema präsent gehalten werden. Sie müssen den ~~Risikomanagement-Prozess~~ verstehen, aktuelles Schulungsmaterial erstellen, weiterentwickeln und die Regelungen in den Policies, Standards, Abläufen, Guidelines und Verhaltensregeln bewerben und schulen [CIS10, S93f].		Im Zuge einer ständigen Risikominimierung müssen sämtliche Mitarbeiter*innen mit dem Thema Security und Risikomanagement konfrontiert werden. Durch Trainings, Schulungen, Verlautbarungen und Aktionen muss das Thema präsent gehalten werden. Sie müssen den Risikomanagementprozess verstehen, aktuelles Schulungsmaterial erstellen, weiterentwickeln und die Regelungen in den Policies, Standards, Abläufen, Guidelines und Verhaltensregeln bewerben und schulen [CIS10, S93f].

	==== Information Security Management ====		==== Information Security Management ====

← Nächstältere Version		Version vom 13. Jänner 2022, 11:12 Uhr
Zeile 645:		Zeile 645:
	'''Finanzierung'''		'''Finanzierung'''

	Durchaus frustrierend sind unzureichende finanzielle Rahmenbedingungen, die nicht zuletzt aus Unverständnis für die Wichtigkeit von Information Security Management entstehen. Natürlich resultiert dies aus einem unzureichendem Management Support, wo wiederum Meinungsbildung – initiiert durch den Information Security Manager – gefragt ist: das Management erkennt den Wert und den Bedarf von Security Investments nicht, Information Security wird als Kostenträger mit wenig Wertbeitrag angesehen, es ist für sie der aktuelle finanzielle Ressourceneinsatz nicht ausreichend transparent dargestellt, die Branchentrends im ~~Bereiche~~ Information Security werden nicht ausreichend wahrgenommen. Man muss nun im Rahmen des finanziellen Umfelds als Information Security Manager agieren und kann mit folgenden Strategien entgegenwirken [CIS10, S210]:		Durchaus frustrierend sind unzureichende finanzielle Rahmenbedingungen, die nicht zuletzt aus Unverständnis für die Wichtigkeit von Information Security Management entstehen. Natürlich resultiert dies aus einem unzureichendem Management Support, wo wiederum Meinungsbildung – initiiert durch die/den Information Security Managerin – gefragt ist: das Management erkennt den Wert und den Bedarf von Security Investments nicht, Information Security wird als Kostenträger mit wenig Wertbeitrag angesehen, es ist für sie der aktuelle finanzielle Ressourceneinsatz nicht ausreichend transparent dargestellt, die Branchentrends im Bereich Information Security werden nicht ausreichend wahrgenommen. Man muss nun im Rahmen des finanziellen Umfelds als Information Security Managerin agieren und kann mit folgenden Strategien entgegenwirken [CIS10, S210]:

	* Anzapfen von Budgets aus anderen Organisationeinheiten, etwa Produktentwicklung, Audit, IT		* Anzapfen von Budgets aus anderen Organisationeinheiten, etwa Produktentwicklung, Audit, IT
Zeile 652:		Zeile 652:
	'''Personaleinsatz'''		'''Personaleinsatz'''

	Natürlich wird immer und überall unter der Arbeitslast gelitten. Allerdings müssen die richtigen Personen auch die richtigen – also ihren Skills entsprechenden – Tätigkeiten ausführen. Wichtig ist dabei zu wissen, wie es um die tatsächliche Auslastung der ~~Mitarbeiterinnen~~ bestellt ist. Dabei muss das Verhältnis der Produktivität zu Information Security Aktivitäten stimmig sein. Ist es nicht möglich, intern die Ressourcen so umzustellen, dass ein vernünftiges Arbeiten möglich ist, sind folgende Strategien möglich [CIS10, S210f]:		Natürlich wird immer und überall unter der Arbeitslast gelitten. Allerdings müssen die richtigen Personen auch die richtigen – also ihren Skills entsprechenden – Tätigkeiten ausführen. Wichtig ist dabei zu wissen, wie es um die tatsächliche Auslastung der Mitarbeiter*innen bestellt ist. Dabei muss das Verhältnis der Produktivität zu Information Security Aktivitäten stimmig sein. Ist es nicht möglich, intern die Ressourcen so umzustellen, dass ein vernünftiges Arbeiten möglich ist, sind folgende Strategien möglich [CIS10, S210f]:

	* Zusammenarbeit mit anderen Organisationseinheiten, um Synergie-Effekte bei Information Security zu lukrieren		* Zusammenarbeit mit anderen Organisationseinheiten, um Synergie-Effekte bei Information Security zu lukrieren
Zeile 671:		Zeile 671:
	==== Informations-Infrastruktur und -Architektur ====		==== Informations-Infrastruktur und -Architektur ====

	Im Zuge von umfassendem strukturellen Infrastruktur- und Architekturdesign einer IT-Landschaft gilt es vor allem den Überblick zu behalten. Eine IT-Landschaft kann sehr rasch sehr komplex werden, wenn neben Servern, Storage, Security Appliances wie Router und Firewalls, Netzwerk, Middleware, Datenbanken auch noch eine Vielzahl an möglicherweise verteilten Applikationen hinzukommt. Zusätzlich muss dieser Technologiemix noch konsistent mit Policies und Standards sein. Um diese Komplexität zu gewährleisten, werden Frameworks, Road Maps und eine modulare Schichten-Philosophie angewendet. Ähnlich der physischen Architektur gibt es Pendants zu Masterplänen, Bebauungsplänen, Bauvorschriften (die Policies und Standards). Für speziell eingesetzte Technologien sollten die entsprechenden Policies befolgt werden, etwa für Webapplikationen, Datenbank Management Systeme oder Telekommunikationsanwendungen. Zielführend ist es auch, eine einzige autorisierte Organisationseinheit für Architektur- und Infrastrukturdesign zu schaffen, die ~~somit auch~~ sowohl das Gesamtbild als auch die Business-Grundlage als Basis für die technische Implementierung im Fokus hat. Diese bedient sich gewisser Kontrollpunkte in der Architektur, um die Einhaltung der Vorgaben regelmäßig zu prüfen (Datenverkehr, Datentypen, Kommunikations-Metainformation o.ä.). Die Abstraktion auf ein Schichtenmodell erleichtert das konzeptuelle Verständnis. Jeweils eine Schicht beleuchtet einen Aspekt. Die Summe der Schichten muss dabei allerdings wieder widerspruchsfrei sein. Die Schichten können beispielsweise Perspektiven der Business-Verantwortlichen, ~~Architekten~~, Designer, Implementierungsverantwortlichen, die ~~Verkäufer~~ und/oder die Facility Manager einschließen (wie beim SABSA-Modell), die dann in den Schichten Kontext, Konzept, Logik, Physik und Komponenten der Information Security Architecture aufgehen. Sie ermöglichen auch eine spätere Detaillierung ohne das komplette Architekturmodell neu strukturieren zu müssen [CIS10, S170ff].		Im Zuge von umfassendem strukturellen Infrastruktur- und Architekturdesign einer IT-Landschaft gilt es vor allem den Überblick zu behalten. Eine IT-Landschaft kann sehr rasch sehr komplex werden, wenn neben Servern, Storage, Security Appliances wie Router und Firewalls, Netzwerk, Middleware, Datenbanken auch noch eine Vielzahl an möglicherweise verteilten Applikationen hinzukommt. Zusätzlich muss dieser Technologiemix noch konsistent mit Policies und Standards sein. Um diese Komplexität zu gewährleisten, werden Frameworks, Road Maps und eine modulare Schichten-Philosophie angewendet. Ähnlich der physischen Architektur gibt es Pendants zu Masterplänen, Bebauungsplänen, Bauvorschriften (die Policies und Standards). Für speziell eingesetzte Technologien sollten die entsprechenden Policies befolgt werden, etwa für Webapplikationen, Datenbank-Management-Systeme oder Telekommunikationsanwendungen. Zielführend ist es auch, eine einzige autorisierte Organisationseinheit für Architektur- und Infrastrukturdesign zu schaffen, die sowohl das Gesamtbild als auch die Business-Grundlage als Basis für die technische Implementierung im Fokus hat. Diese bedient sich gewisser Kontrollpunkte in der Architektur, um die Einhaltung der Vorgaben regelmäßig zu prüfen (Datenverkehr, Datentypen, Kommunikations-Metainformation o.ä.). Die Abstraktion auf ein Schichtenmodell erleichtert das konzeptuelle Verständnis. Jeweils eine Schicht beleuchtet einen Aspekt. Die Summe der Schichten muss dabei allerdings wieder widerspruchsfrei sein. Die Schichten können beispielsweise Perspektiven der Business-Verantwortlichen, Architektinnen, Designerinnen, Implementierungsverantwortlichen, die Verkäufern und/oder die Facility Manager*innen einschließen (wie beim SABSA-Modell), die dann in den Schichten Kontext, Konzept, Logik, Physik und Komponenten der Information Security Architecture aufgehen. Sie ermöglichen auch eine spätere Detaillierung ohne das komplette Architekturmodell neu strukturieren zu müssen [CIS10, S170ff].

	'''Feststellen des Information Security Status'''		'''Feststellen des Information Security Status'''

	In vielen Fällen wird es erforderlich sein, den aktuellen Status von Information Security zu bestimmen, sei es, wenn ein ~~neuer~~ Information Security Manager die Arbeit aufnimmt oder bei regelmäßigen Bestandsaufnahmen oder Reviews. Auf Basis der gewonnenen Informationen können dann Strategien und weitere Schritte aufgesetzt werden. Bei der Evaluierung des Information Security Status gibt es Schlüsselkriterien, die immer wieder auftreten und die man in Folge einer Standortbestimmung eruieren kann [CIS10, S211f]:		In vielen Fällen wird es erforderlich sein, den aktuellen Status von Information Security zu bestimmen, sei es, wenn ein/e neue/r Information Security Manager*in die Arbeit aufnimmt oder bei regelmäßigen Bestandsaufnahmen oder Reviews. Auf Basis der gewonnenen Informationen können dann Strategien und weitere Schritte aufgesetzt werden. Bei der Evaluierung des Information Security Status gibt es Schlüsselkriterien, die immer wieder auftreten und die man in Folge anhand einer Standortbestimmung eruieren kann [CIS10, S211f]:

	* '''Ziele des Programs''': messbar, realistisch; stehen sie im Einklang mit den Security Governance Zielen und den Unternehmenszielen; sind sie Bestandteil von Metriken, Reviews und werden sie gemeinsam getragen?		* '''Ziele des Programs''': messbar, realistisch; stehen sie im Einklang mit den Security Governance Zielen und den Unternehmenszielen; sind sie Bestandteil von Metriken, Reviews und werden sie gemeinsam getragen?
Zeile 681:		Zeile 681:
	* '''Management des Programs''': existiert eine adäquate Dokumentation, wurde es an das Zielpublikum ausreichend kommuniziert, sind Rollen und Verantwortlichkeiten definiert, ist Information Security auch in den Kerngeschäftsbereichen präsent; wurden Policies und Standards definiert und formal autorisiert; existiert ein Information Security Steering Committee mit Business-Beteiligung; wie sind die Berichtslinien für Information Security aufgebaut; wurden administrative Funktionen integriert; gibt es aussagekräftige Metriken und erfolgt ein regelmäßiges Reporting; ist die Management-Aufsicht adäquat?		* '''Management des Programs''': existiert eine adäquate Dokumentation, wurde es an das Zielpublikum ausreichend kommuniziert, sind Rollen und Verantwortlichkeiten definiert, ist Information Security auch in den Kerngeschäftsbereichen präsent; wurden Policies und Standards definiert und formal autorisiert; existiert ein Information Security Steering Committee mit Business-Beteiligung; wie sind die Berichtslinien für Information Security aufgebaut; wurden administrative Funktionen integriert; gibt es aussagekräftige Metriken und erfolgt ein regelmäßiges Reporting; ist die Management-Aufsicht adäquat?
	* '''Betriebliches Security Management''': bestehen Sicherheitsanforderungen für die betrieblichen Abläufe; sind spezielle Security-Standard-Abläufe definiert, gibt es einen Zeitplan für wiederkehrende operative (Review-) Tätigkeiten und sind diese dokumentiert, ist eine Funktionstrennung implementiert; bestehen Metriken und Reportingstrukturen, gibt es Management-Reviews?		* '''Betriebliches Security Management''': bestehen Sicherheitsanforderungen für die betrieblichen Abläufe; sind spezielle Security-Standard-Abläufe definiert, gibt es einen Zeitplan für wiederkehrende operative (Review-) Tätigkeiten und sind diese dokumentiert, ist eine Funktionstrennung implementiert; bestehen Metriken und Reportingstrukturen, gibt es Management-Reviews?
	* '''Technisches Security Management''': sind technische Standards und Konfigurationen für alle ~~technische~~ Komponenten definiert und im Einklang mit Policies und den Anforderungen; gibt es eine Trennung von Test- und Produktivumgebung, Funktionstrennung und durchgängig nachvollziehbare Systemprotokollierung?		* '''Technisches Security Management''': sind technische Standards und Konfigurationen für alle technischen Komponenten definiert und im Einklang mit Policies und den Anforderungen; gibt es eine Trennung von Test- und Produktivumgebung, Funktionstrennung und durchgängig nachvollziehbare Systemprotokollierung?
	* '''Ressourcen Level''': ~~Werden~~ die Zuweisungen der finanziellen, personellen und technischen Ressourcen gemäß den Zielen und Prioritäten strukturiert durchgeführt? Werden Skills und Auslastung von ~~Mitarbeiterinnen~~ beobachtet? Werden die Ressourcenzuweisungen hinsichtlich ihrer Effizienz und Effektivität überwacht und laufend optimiert?		* '''Ressourcen Level''': werden die Zuweisungen der finanziellen, personellen und technischen Ressourcen gemäß den Zielen und Prioritäten strukturiert durchgeführt? Werden Skills und Auslastung von Mitarbeiter*innen beobachtet? Werden die Ressourcenzuweisungen hinsichtlich ihrer Effizienz und Effektivität überwacht und laufend optimiert?
	'''Third Party Service Providers'''		'''Third Party Service Providers'''