9. Zur Abgrenzung eines Informationsverbundes

Im Bereich der Unternehmensabsicherung haben sich Managementsysteme gemäß dem Deming-Zyklus, der auch als ″PDCA-Zyklus″ bekannt ist, etabliert. Zu nennen sind dabei das Information Security-Managementsysteme (kurz: ISMS) der ISO/IEC 27001. Allerdings hat sich in Deutschland im öffentlichen Sektor der BSI-Standard 100-2 bzw. die Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (kurz: BSI) durchgesetzt. Die Grundschutz-Methodik, die im BSI-Standard 100-2 beschrieben ist, geht immer von einer Institution oder Behörde aus, die für sich genommen eine Einheit bildet. Diese Situation liegt bei einem Telekommunikationsdienstleister oder einer anderen großen Institution in Deutschland allerdings nicht vor. Zudem betreiben letztere, aus dem Zwang zum wirtschaftlichen erfolgreichen Handeln, üblicherweise ihr ISMS prozessorientiert entlang der Wertschöpfungsketten und deutlich seltener technologiebezogen. Somit stellt sich die Frage, wie die Abgrenzung des Informationsverbundes (kurz: IV) in diesem Fall vorzunehmen ist. Anhand eines Beispiels für einen Informationsverbund, der seit 2015 zertifiziert ist, wird in diesem Beitrag eine praxisbewährte und zertifizierungskonforme Lösung vorgestellt, die für große Institutionen richtungsweisend sein kann.