Skip to main content

2017 | OriginalPaper | Buchkapitel

7. Governance der Informationssicherheit und der IT

verfasst von : Hans-Peter Königs

Erschienen in: IT-Risikomanagement mit System

Verlag: Springer Fachmedien Wiesbaden

Aktivieren Sie unsere intelligente Suche um passende Fachinhalte oder Patente zu finden.

search-config
loading …

Überblick

Die Leistung der „Informations- und IT-Sicherheit“ äussert sich vor allem in einem an den Geschäfts-Strategien und -Zielen ausgerichteten Informations-Risikomanagement, welches die Risiken und Massnahmenkosten im Geschäftskontext optimiert. Zum Informations-Risikomanagement gehören an vorderster Stelle die Führungsaspekte, die in der Governance, der Aufbauorganisation und den Führungsinstrumenten zum Ausdruck kommen.
Im Teil II dieses Buches wurden bereits die Anforderungen eines Unternehmens-Risikomanagements aus der Sicht der Corporate-Governance behandelt. Bevor in diesem Buch die Inhalte, Methoden und Verfahren des Informations-Risikomanagements im Einzelnen behandelt werden, soll deshalb festgehalten werden, wo die beiden Disziplinen IT-Risikomanagement und Informationssicherheits-Risikomanagement im Fokus der Unternehmens-Governance zu positionieren sind.
Die ISO differenziert mit zwei verschiedenen Standards zwischen der „IT-Governance“ und der „Information Security Governance“. Beide Standards führen die Aufgaben der oberen Führungspersonen unter den Begriffen „Evaluate“, „Direct“ und „Monitor“ auf. Zu den beiden sich teilweise überschneidenden Governance-Bereichen gehört auch jeweils ein entsprechendes Risikomanagement.
Während sich die „IT-Governance“ vor allem auf die Umsetzung der geschäftlichen Anforderungen durch die Informationstechnologie bezieht, nimmt die „Informationssicherheits-Governance“ Bezug auf die Verfügbarkeit, Vertraulichkeit und Integrität der Informationen, die sowohl in „Gefässen“ der Informationstechnologie (IT), als auch in nichttechnologischen „Erscheinungsformen“ existieren (z. B. Handnotizen auf Papier) kann.
Das IT Governance Institut der ISACA definiert IT-Governance als Verantwortlichkeit des Verwaltungsrats und der Geschäftsleitung als integralen Bestandteil der Corporate-Governance. Aufgrund der Wichtigkeit der Informationssicherheit hat das IT Governance Institut auch Anleitungen zur Umsetzung der „Informationssicherheits-Governance“ herausgegeben, die in diesem Kapitel wiedergegeben werden. Darin kommen „Best Practices“ hinsichtlich Informationssicherheit für die Ebenen des Verwaltungsrats und der Geschäftsleitung zum Ausdruck. Zusätzlich zur Behandlung des Wesens und der Abgrenzung der beiden Governance Bereiche werden in diesem Buch-Kapitel auch einige für die Risikomanagement-Aufgaben der beiden Governance-Bereiche notwendigen Führungsrollen aufgezeigt. Die Rollenbeschreibungen enthalten neben den Führungspflichten auch die notwendigen Kontrollfunktionen und Organisationsprinzipien (z. B. Gewaltentrennung).

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 102.000 Bücher
  • über 537 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 390 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




 

Jetzt Wissensvorsprung sichern!

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 340 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Jetzt Wissensvorsprung sichern!

Fußnoten
1
Die für die Governance der Informationssicherheit zutreffenden Aufgabenbeschreibungen sind in Italics eingefügt.
 
2
Das ITGI (IT Governance Institut) wurde 1998 durch die ISACA (Information Systems Audit and Control Association) als Forschungseinrichtung auf den Gebieten der Revision und des Managements der IT und der Informationen gegründet.
 
3
Das „Board of Directors“ hat in anglo-amerikanischen Ländern die Oberleitung und Überwachungsfunktion des Unternehmens inne. In Deutschland fällt diese Rolle dem „Aufsichtsrat“ und in der Schweiz dem „Verwaltungsrat“ zu (vgl. [Böck04], S. 1759).
 
4
Das „Executive Management“ nimmt die „Führungsfunktion“ im Unternehmen ein. In Deutschland wird diese Funktion durch den „Vorstand“ und in der Schweiz durch die „Geschäftsleitung“ wahrgenommen (vgl. [Böck04], S. 1759).
 
5
Nach der ersten Ausgabe von 2001 liegt inzwischen eine zweite Ausgabe aus dem Jahre 2006 vor. Wenngleich die zweite Ausgabe verstärkt auf die Wertegenerierung durch effektive Investitionen der IT eingeht, behält die erste Ausgabe in vielen Punkten nach wie vor ihre Gültigkeit.
 
6
Die Rolle des CISO wird gelegentlich auch in die Funktion eines „Chief Security Officers“ integriert.
 
7
Vgl. „COBIT 5 for Risk“, ([Cobr13], S. 40).
 
8
Die Unterstellung des CISO unter den CIO ist im Falle, wenn der CIO auch operative Verantwortlichkeiten einnimmt, nicht empfehlenswert und durch Regulierer oder Gesetzgeber auch nur bedingt erlaubt, z. B. in Deutschland nur dann, wenn der Datenschutz durch eine nicht dem CIO unterstellte Person gewährleistet wird.
 
Literatur
[Bitr04]
Zurück zum Zitat Biri, Kurt und Giampaolo M. Trenta: Corporate Information Security Governanance im schweizerischen Privatbankgeschäft. Diplomarbeit Executive MBA. Universität Zürich, 2004. Biri, Kurt und Giampaolo M. Trenta: Corporate Information Security Governanance im schweizerischen Privatbankgeschäft. Diplomarbeit Executive MBA. Universität Zürich, 2004.
[Böck04]
Zurück zum Zitat Böckli, Peter: Schweizerisches Aktienrecht. Zürich: Schulthess, 2004. Böckli, Peter: Schweizerisches Aktienrecht. Zürich: Schulthess, 2004.
[Cobi12]
Zurück zum Zitat ISACA: COBIT® 5 for Information Security. Rolling Meadows: Information Systems Audit and Control Association, 2012. ISACA: COBIT® 5 for Information Security. Rolling Meadows: Information Systems Audit and Control Association, 2012.
[Cobr13]
Zurück zum Zitat ISACA: COBIT® 5 for Risk. Rolling Meadows: Information Systems Audit and Control Association, 2013. ISACA: COBIT® 5 for Risk. Rolling Meadows: Information Systems Audit and Control Association, 2013.
[Isog15]
Zurück zum Zitat ISO/IEC 38500:2015: Corporate governance of information technology. International Organization for Standardization, 2015. ISO/IEC 38500:2015: Corporate governance of information technology. International Organization for Standardization, 2015.
[Isoh13]
Zurück zum Zitat ISO/IEC 27014:2013: Governance of information security. International Organization for Standardization, 2013. ISO/IEC 27014:2013: Governance of information security. International Organization for Standardization, 2013.
[Itga01]
Zurück zum Zitat IT Governance Institute: Information Security Governance, Guidance for Boards of Directors and Executive Management. Rolling Meadows: IT Governance Institute, 2001. IT Governance Institute: Information Security Governance, Guidance for Boards of Directors and Executive Management. Rolling Meadows: IT Governance Institute, 2001.
Metadaten
Titel
Governance der Informationssicherheit und der IT
verfasst von
Hans-Peter Königs
Copyright-Jahr
2017
DOI
https://doi.org/10.1007/978-3-658-12004-7_7