Themen und Positionierungen
Informationssicherheit kann nicht allein durch den Betrieb technischer Sicherheitskomponenten erreicht werden, denn diese entfalten erst ihre Wirkung, wenn ihr Einsatz sich an den tatsächlichen Sicherheitsbedürfnissen der jeweiligen Organisation orientiert und wenn dies auch in den organisationsinternen Abläufen verankert ist.
Durch Sicherheitsmanagement soll eine organisationsweite Koordination und Bündelung aller Aktivitäten in der Informationssicherheit erreicht werden. Neben der Definition des Sicherheitszieles und der Ermittlung der dafür notwendigen Maßnahmen ist dafür die erfolgreiche Etablierung von Sicherheitsprozessen in der jeweiligen Organisation. Sicherheitsmanagement ist daher die notwendige Schnittstelle zwischen informationstechnischen Schutzmaßnahmen und dem Risikomanagement einer Organisation. Es bildet damit zugleich eine Brücke zwischen informatischen und betriebswirtschaftlichen Sichtweisen des Sicherheitsbegriffs.
Die dabei zu bewältigenden Aufgaben sind heute Gegenstand von Firmen, Öffentlichen Verwaltungen, Normungsgremien sowie öffentlichen und privaten Zertifizierungsstellen, wobei oft nur Teilaspekte behandelt werden.
Schwerpunkt der FG ist, die verschiedenen Ansätze systematisch zu bündeln, wobei bekannte sicherheitstechnische Ansätze integriert werden sollen. Die Themengebiete lassen sich wie folgt umreißen:
- Leitbilder der Informationssicherheit
- Sicherheitsleitlinien und -normen in Organisationen (Policies)
- Rahmenbedingungen für Informationssicherheit
- gesetzliche (Datenschutz, Mitbestimmung, Zulässigkeit von Schutzmaßnahmen)
- rechliche (vertragliche Regelungen, Haftung, etc.)
- soziokulturelle (Freiheit vs. Kontrolle, psychologische Aspekte der Sicherheit)
- Etablierung von Informationssicherheit in Organisationsstrukturen
- Sicherheitsprozesse, -Workflows
- Sicherheit im laufenden Betrieb
- Return on Investment
- Schaffung einer Sicherheitskultur in der Organisation
- Risiken
- Analyse und Bewertung von Risiken
- technisches und betriebswirtschaftliches Risikomanagement
- Umgang mit Restrisiken, Vorfall-Management und "lernende Organisation"
- Gestaltung eines adäquaten IT Governance, Risk & Compliance Managements
- Gestaltung eines adäquaten Business Continuity Managements
- Auswahl und Umsetzung von Sicherheitsmaßnahmen
- Etablierung von "Sicherheitsmanagementsystemen"
- Zusammenspiel von organisatorischen, personellen, baulichen und technischen Maßnahmen
- Schulung, Sensibilisierung und Motivation für Informationssicherheit
- Qualitätssicherung und Revision von Informationssicherheit
- Auditierung und Zertifizierung, u.a. Vergleichbarkeit von Zertifikaten
- Rolle und Einsatz evaluierter IT-Produkte
- Self-Assessments, Checklisten und Assessment-Tools
Beschreibung und Steuerung von Sicherheitsmanagementsystemen mittels formaler Methoden
Die Fachgruppe greift dabei gezielt auch Ergebnisse anderer Fachgruppen auf, um zu untersuchen, wie die dort behandelten Aspekte organisatorisch gebündelt und in Organisationen eingesetzt werden können.