IT-Sicherheits- und Risikomanagement
IT-Sicherheits- und Risikomanagement
Grundlegende Standards zu Informationssicherheitsmanagementsystemen
© unsplash.com - rawpixel
Die folgenden Standards bieten Richtlinien für einzelne Aspekte des IT-Sicherheits- und Risikomanagements an. Hierzu gehört: Sicherheitsstrategien und Sicherheitsleitlinien von Organisationen festzulegen, Risiken der IT-Sicherheit zu bewerten, Sicherheitsziele zu ermitteln und Sicherheitsanforderungen abzuleiten, geeignete Gegenmaßnahmen (unter anderem auch Grundschutzmaßnahmen) auszuwählen und deren dauerhafte Umsetzung sicherzustellen. Dies alles erfolgt in der Regel im Rahmen des IT-Sicherheits- oder IT-Risikomanagements (1) , welches das systematische Erkennen, Bewerten, Steuern und Überwachen von IT-Sicherheitsrisiken umfasst. Diese Aktivitäten werden im Allgemeinen auch als Regelkreislauf dargestellt und setzen sich aus den Elementen „Plan, Do, Check, Act“ (Englisch für Planen, Durchführen, Überprüfen und Verbessern) zusammen, dem so genannten PDCA-Modell, das die Grundlage eines Informationssicherheits-Managementsystems (ISMS) bildet.
Abbildung 3: Regelkreislauf des ISMS
1. Siehe dazu auch den BITKOM „Leitfaden IT-Risiko- und Chancenmanagement für kleine und mittlere Unternehmen“