Der Ruf nach internen Kontrollsystemen und der Etablierung eines Information Security Management Systems (ISMS) nimmt insbesoders durch regulative Anforderungen (z.B.: 8 EU-Richtlinie, Gesundheitstelematikverordnung. Verbandsverantwortlichkeitsgesetz) in den letzten Jahren immer stärker zu.
Unter dem Begriff des „Internes Kontroll-Systems“ (IKS) versteht man das individuelle System von aufeinander abgestimmten und sich ergänzenden Methoden und Maßnahmen in einer Organisation, die dazu dienen, Fehler zu verhindern und die Einhaltung vorgegebener Normen und Gesetze zu gewährleisten, und insbesondere auch
- die Vollständigkeit und Richtigkeit der geschäftlichen Aufzeichnungen zu sichern,
- die vorhandenen Vermögenswerte zu sichern,
- die betriebliche Leistungsfähigkeit zu steigern,
- die Geschäftsführung bei ihrer Überwachungsaufgabe zu unterstützen.
In Bezug auf die IT-Steuerung, Entwicklung und Überwachung gilt es im Wesentlichen die Vermögenswerte (Assets) des Unternehmens zu schützen. Ein Vermögenswert ist eine Ressource,
- die aufgrund von Ereignissen der Vergangenheit von einem Unternehmen beherrscht wird; und
- von der erwartet wird, dass dem Unternehmen durch sie künftiger wirtschaftlicher Nutzen zufließt.
Die Aufgabe eines ISMS ist es, Informationssicherheit in einem Unternehmen dauerhaft zu gewährleisten. Eines der gängigsten ISMS ist ISO 27001 (Information technology – Security techniques – Information security management systems – Requirements) mit ihrer Subnorm ISO 27002 (Information technology – Security techniques – Code of practice for information security management).
ISO 27001 basiert auf dem Plan-Do-Check-Act Zyklus. Im Zusammen mit Informationssicherheit bedeuten die vier Schritte:
- PLAN – ISMS planen und etablieren
- DO – ISMS entwickeln und anwenden
- CHECK – ISMS überwachen und bewerten
- ACT – ISMS warten und verbessern
ISO 27002 verankert folgende 11 Domänen als Sicherheitsmindestanforderung in einer Organisation:
- Information Security Policy – Weisungen und Richtlinien zur Informationssicherheit
- Organization of information security – Organisatorische Sicherheitsmaßnahmen und Managementprozess
- Asset management – Verantwortung und Klassifizierung von Informationswerten
- Human resources security – Personelle Sicherheit
- Physical and Environmental Security – Physische Sicherheit und öffentliche Versorgungsdienste
- Communications and Operations Management – Netzwerk- und Betriebssicherheit (Daten und Telefonie)
- Access Control – Zugriffskontrolle
- Information systems acquisition, development and maintenance – Systementwicklung und Wartung
- Information security incident management – Umgang mit Sicherheitsvorfällen
- Business Continuity Management – Notfallvorsorgeplanung
- Compliance – Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und Überprüfungen durch Audits
Durch eine gezielte Implementierung und Ausrichtung von SharePoint 2007 können verschiedene Domänen aus ISO 27002 angesprochen werden, z.B.: besteht Asset Management aus den Kontrollzielen Inventarisierung, Eigentümerschaft, Verwendung, Klassifikation und Beschriftung. Sobald eine schriftliche Asset Management Policy im Rahmen der Informationssicherheit in Ihrer Organisation verfasst wurde, kann diese in SharePoint 2007 umgesetzt werden. Die verschiedenen Assets können schließlich über SharePoint inventarisiert und zugordnet werden. Unternehmensdokumente werden in einem ISMS genauso betrachtet wie physische Güter. Dokumente können mit Hilfe von SharePoint 2007 verwaltet, versioniert und klassifiziert werden. Die Grundlage der Dokumentenlenkung ist geschaffen. Je nach Berechtigung und Klassifikation können diese Dokumente den Mitarbeiten zur Verfügung gestellt werden. Sämtliche Policies, Richtlinien, Standards und Prozeduren werden den Mitarbeitern über ein zentrales SharePoint-Portal zur Verfügung gestellt.
Dies ist nur ein kurzes Fallbeispiel, um den Zusammenhang zwischen SharePoint 2007 und einem ISMS besser darzustellen.
Security Research unterstützt Sie bei der Evaluierung und Bewertung als auch bei der Planung, dem Aufbau und der Implementierung eines ISMS. SharePoint 2007 kann hier eine zentrale Rolle bei der Implementierung des ISMS spielen. Gerne bieten wir Ihnen auch Hilfestellung bei der Auswahl eines geeigneten Regelwerks für das ISMS und bereiten Sie auf eine mögliche (Re-)Zertifizierungen vor (z.B.: ISO 27001).