Skip to main content
main-content

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

2017 | OriginalPaper | Buchkapitel

7. Governance der Informationssicherheit und der IT

verfasst von : Hans-Peter Königs

Erschienen in: IT-Risikomanagement mit System

Verlag: Springer Fachmedien Wiesbaden

share
TEILEN

Überblick

Die Leistung der „Informations- und IT-Sicherheit“ äussert sich vor allem in einem an den Geschäfts-Strategien und -Zielen ausgerichteten Informations-Risikomanagement, welches die Risiken und Massnahmenkosten im Geschäftskontext optimiert. Zum Informations-Risikomanagement gehören an vorderster Stelle die Führungsaspekte, die in der Governance, der Aufbauorganisation und den Führungsinstrumenten zum Ausdruck kommen.
Im Teil II dieses Buches wurden bereits die Anforderungen eines Unternehmens-Risikomanagements aus der Sicht der Corporate-Governance behandelt. Bevor in diesem Buch die Inhalte, Methoden und Verfahren des Informations-Risikomanagements im Einzelnen behandelt werden, soll deshalb festgehalten werden, wo die beiden Disziplinen IT-Risikomanagement und Informationssicherheits-Risikomanagement im Fokus der Unternehmens-Governance zu positionieren sind.
Die ISO differenziert mit zwei verschiedenen Standards zwischen der „IT-Governance“ und der „Information Security Governance“. Beide Standards führen die Aufgaben der oberen Führungspersonen unter den Begriffen „Evaluate“, „Direct“ und „Monitor“ auf. Zu den beiden sich teilweise überschneidenden Governance-Bereichen gehört auch jeweils ein entsprechendes Risikomanagement.
Während sich die „IT-Governance“ vor allem auf die Umsetzung der geschäftlichen Anforderungen durch die Informationstechnologie bezieht, nimmt die „Informationssicherheits-Governance“ Bezug auf die Verfügbarkeit, Vertraulichkeit und Integrität der Informationen, die sowohl in „Gefässen“ der Informationstechnologie (IT), als auch in nichttechnologischen „Erscheinungsformen“ existieren (z. B. Handnotizen auf Papier) kann.
Das IT Governance Institut der ISACA definiert IT-Governance als Verantwortlichkeit des Verwaltungsrats und der Geschäftsleitung als integralen Bestandteil der Corporate-Governance. Aufgrund der Wichtigkeit der Informationssicherheit hat das IT Governance Institut auch Anleitungen zur Umsetzung der „Informationssicherheits-Governance“ herausgegeben, die in diesem Kapitel wiedergegeben werden. Darin kommen „Best Practices“ hinsichtlich Informationssicherheit für die Ebenen des Verwaltungsrats und der Geschäftsleitung zum Ausdruck. Zusätzlich zur Behandlung des Wesens und der Abgrenzung der beiden Governance Bereiche werden in diesem Buch-Kapitel auch einige für die Risikomanagement-Aufgaben der beiden Governance-Bereiche notwendigen Führungsrollen aufgezeigt. Die Rollenbeschreibungen enthalten neben den Führungspflichten auch die notwendigen Kontrollfunktionen und Organisationsprinzipien (z. B. Gewaltentrennung).
Fußnoten
1
Die für die Governance der Informationssicherheit zutreffenden Aufgabenbeschreibungen sind in Italics eingefügt.
 
2
Das ITGI (IT Governance Institut) wurde 1998 durch die ISACA (Information Systems Audit and Control Association) als Forschungseinrichtung auf den Gebieten der Revision und des Managements der IT und der Informationen gegründet.
 
3
Das „Board of Directors“ hat in anglo-amerikanischen Ländern die Oberleitung und Überwachungsfunktion des Unternehmens inne. In Deutschland fällt diese Rolle dem „Aufsichtsrat“ und in der Schweiz dem „Verwaltungsrat“ zu (vgl. [Böck04], S. 1759).
 
4
Das „Executive Management“ nimmt die „Führungsfunktion“ im Unternehmen ein. In Deutschland wird diese Funktion durch den „Vorstand“ und in der Schweiz durch die „Geschäftsleitung“ wahrgenommen (vgl. [Böck04], S. 1759).
 
5
Nach der ersten Ausgabe von 2001 liegt inzwischen eine zweite Ausgabe aus dem Jahre 2006 vor. Wenngleich die zweite Ausgabe verstärkt auf die Wertegenerierung durch effektive Investitionen der IT eingeht, behält die erste Ausgabe in vielen Punkten nach wie vor ihre Gültigkeit.
 
6
Die Rolle des CISO wird gelegentlich auch in die Funktion eines „Chief Security Officers“ integriert.
 
7
Vgl. „COBIT 5 for Risk“, ([Cobr13], S. 40).
 
8
Die Unterstellung des CISO unter den CIO ist im Falle, wenn der CIO auch operative Verantwortlichkeiten einnimmt, nicht empfehlenswert und durch Regulierer oder Gesetzgeber auch nur bedingt erlaubt, z. B. in Deutschland nur dann, wenn der Datenschutz durch eine nicht dem CIO unterstellte Person gewährleistet wird.
 
Literatur
[Bitr04]
Zurück zum Zitat Biri, Kurt und Giampaolo M. Trenta: Corporate Information Security Governanance im schweizerischen Privatbankgeschäft. Diplomarbeit Executive MBA. Universität Zürich, 2004. Biri, Kurt und Giampaolo M. Trenta: Corporate Information Security Governanance im schweizerischen Privatbankgeschäft. Diplomarbeit Executive MBA. Universität Zürich, 2004.
[Böck04]
Zurück zum Zitat Böckli, Peter: Schweizerisches Aktienrecht. Zürich: Schulthess, 2004. Böckli, Peter: Schweizerisches Aktienrecht. Zürich: Schulthess, 2004.
[Cobi12]
Zurück zum Zitat ISACA: COBIT® 5 for Information Security. Rolling Meadows: Information Systems Audit and Control Association, 2012. ISACA: COBIT® 5 for Information Security. Rolling Meadows: Information Systems Audit and Control Association, 2012.
[Cobr13]
Zurück zum Zitat ISACA: COBIT® 5 for Risk. Rolling Meadows: Information Systems Audit and Control Association, 2013. ISACA: COBIT® 5 for Risk. Rolling Meadows: Information Systems Audit and Control Association, 2013.
[Isog15]
Zurück zum Zitat ISO/IEC 38500:2015: Corporate governance of information technology. International Organization for Standardization, 2015. ISO/IEC 38500:2015: Corporate governance of information technology. International Organization for Standardization, 2015.
[Isoh13]
Zurück zum Zitat ISO/IEC 27014:2013: Governance of information security. International Organization for Standardization, 2013. ISO/IEC 27014:2013: Governance of information security. International Organization for Standardization, 2013.
[Itga01]
Zurück zum Zitat IT Governance Institute: Information Security Governance, Guidance for Boards of Directors and Executive Management. Rolling Meadows: IT Governance Institute, 2001. IT Governance Institute: Information Security Governance, Guidance for Boards of Directors and Executive Management. Rolling Meadows: IT Governance Institute, 2001.
Metadaten
Titel
Governance der Informationssicherheit und der IT
verfasst von
Hans-Peter Königs
Copyright-Jahr
2017
DOI
https://doi.org/10.1007/978-3-658-12004-7_7

Premium Partner