Risikomanagement im Lifecycle von Informationen und Systemen

Die Informationen wie ihre technologischen Gefässe (Informationen, Prozeduren, Hardware usw.) sind während ihres ganzen Lebenszyklus schutzbedürftig. Für die Informationen können die Schutzphasen „Entstehung“, „Bearbeitung“, „Übertragung (Übermittlung)“, „Speicherung (Archivierung)“ und „Entsorgung (Löschung)“ unterschieden werden. Ein pragmatischer Ansatz, die Information durch jeden Mitarbeitenden risikogerecht zu schützen, besteht darin, die Einstufungskriterien in Form einer kurzen Anleitung den Mitarbeitenden in die Hand zu geben. Die Einstufungskriterien leiten sich von gesetzlichen, regulativen, vertraglichen Anforderungen oder aufgrund von „Impacts“ ab. Sind die Informationen eingestuft, dann können pro Schutzphase und Informationseinstufung mit einem „Massnahmen-Rezept“ die angemessenen „Werkzeuge“ (z.B. Chiffrier-Programm) direkt am Arbeitsplatz-Computer eingesetzt werden. Das Risikomanagement der IT-Systeme kann mit einer „First cut“-Risikoanalyse vor der Anforderungsdefinition und mit einem IT-Sicherheitskonzept in einer Grobfassung vor dem Entscheid für die Entwicklung respektive Beschaffung des Systems und in einer Detailfassung vor der Systemeinführung sichergestellt werden.