Überblick
Nach der Behandlung der Governance Aspekte und der möglichen organisatorischen Strukturen und Funktionen im Unternehmen, stellt sich nun die Frage, wie das Informations-Risikomanagement in der Praxis konkret umgesetzt werden kann. Zur Umsetzung bedarf es der Instrumente, aber auch einer Zuordnung von Aufgaben, Verantwortlichkeiten und Kompetenzen sowie der für die Umsetzung notwendigen Ressourcen. Wie in einem grösseren Unternehmen die Umsetzung der Governance und des Managements des Informations-Risikomanagements und der Informationssicherheit sowohl in Bezug auf die Führungsebenen als auch hinsichtlich praktikabler Führungsinstrumente durchführbar ist, wird anhand einer sogenannten Führungspyramide visualisiert.
Für die Kommunikation, die Anweisung und Kontrolle der Umsetzung des Risikomanagements, vor allem hinsichtlich der Informationssicherheit, sind die Policies und für die technische Umsetzung die Sicherheitskonzepte praktikable Mittel. Die Aufteilung von Policy-Themen kann mittels eines gezeigten beispielhaften Rahmenkonzepts erfolgen.
Bezüglich der Ressourcenplanung sind, neben den wichtigen Personal-Ressourcen, auch technische Mittel notwendig, die zu einem grossen Teil in der Form von Sicherheitsmassnahmen, im Rahmen einer „IT-Sicherheitsarchitektur“, zum Einsatz gelangen sollen. Eine solche Architektur soll, im Einklang mit der Forderung nach „risikobasierten Massnahmen“, vorausschauend und nach Wirksamkeits- und Effizienzkriterien geplant, umgesetzt und betrieben werden. Anhand von Beispielen wird gezeigt, wie eine solche Architektur mit Einzel-„Bausteinen“ aufgebaut werden kann. Sowohl mittels Bausteinen einer unternehmenseigenen Sicherheitsarchitektur als auch mit einzelnen aus Grundschutzkatalogen (Baseline Security Standards) entnommenen Bausteinen ist es möglich und sinnvoll, für die typische Risiko-Exponierung des Unternehmens einen breiten, wenn auch nicht alle Anforderungen abdeckenden Schutz im Unternehmen einzuführen und zu unterhalten. Bevor das Kapitel mit Empfehlungen für risikobasierte IT-Sicherheitskonzepte abschliesst, wird eine sinnvolle Koexistenz von „Grundschutz und risikobasierten Massnahmen“ diskutiert.