Digestible IT Bites

NIS-2 - organisatorische Maßnahmen

Geschrieben von Christoph Ketzer | 17.07.2024 07:16:49

Heute möchten wir uns mit den Zahlreichen organisatorischen Maßnahmen beschäftigen. Zur Auffrischung geht’s hier zurück zu unserem Artikel NIS-2 - Eine erste Einschätzung.


Inhalt

Was ist eigentlich mit organisatorischen Maßnahmen gemeint?

ISMS?!

IT- Assetmanagement

Risikomanagement

Ausblick

 

Was ist mit organisatorischen Maßnahmen gemeint

 

Unter organisatorischen Maßnahmen in einem Unternehmen versteht man alle strukturellen und prozessualen Vorkehrungen, um die Effizienz, Sicherheit und Compliance des Unternehmens zu gewährleisten. Diese Maßnahmen umfassen eine Vielzahl von Aktivitäten und Regelungen, die das Management, die Kommunikation, die Dokumentation und die Zusammenarbeit betreffen. Die Maßnahmen sollen im Kontext des Business Continuity Managements getroffen werden, um die Fortführung der Geschäftsfähigkeit sicherzustellen, zum reibungslosen Betrieb beizutragen, Risiken zu minimieren, die Effizienz zu steigern und die Einhaltung gesetzlicher und regulatorischer Anforderungen sicherzustellen.

 

ISMS?!

 

ISMS ist die Abkürzung für ein Informationssicherheits- Managementsystem oder englisch Information Security Management System. Man kann es als Handbuch betrachten, in dem die organisatorischen Maßnahmen in Rahmen der IT-Sicherheit dokumentiert sind. Ein ISMS ist häufig auf den Standards der ISO/IEC 27001 aufgebaut, aber es kann ebenso unter Zuhilfenahme des BSI- Grundschutzes aufgebaut werden.

In das ISMS gehören einigen wichtige Komponenten:

Richtlinien und Verfahren: Dokumentierte Richtlinien und Verfahren, die die Informationssicherheitsziele und -strategien des Unternehmens festlegen.

Risikomanagement: Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken, um sicherzustellen, dass die Risiken auf einem akzeptablen Niveau gehalten werden.

Kontrollen und Maßnahmen: Implementierung von Sicherheitskontrollen und Maßnahmen, um identifizierte Risiken zu minimieren oder zu eliminieren. Dies kann technische Maßnahmen (z.B. Firewalls, Verschlüsselung) und organisatorische Maßnahmen (z.B. Schulungen, Zugangskontrollen) umfassen.

Schulung und Sensibilisierung: Regelmäßige Schulungen und Sensibilisierungsprogramme für Mitarbeiter, um ein Bewusstsein für Informationssicherheit zu schaffen und sicherzustellen, dass alle Mitarbeiter die Sicherheitsrichtlinien und -verfahren verstehen und befolgen.

Überwachung und Überprüfung: Kontinuierliche Überwachung und regelmäßige Überprüfung des ISMS, um dessen Wirksamkeit zu gewährleisten und kontinuierliche Verbesserungen zu ermöglichen.

Vorfallmanagement: Verfahren zur Erkennung, Reaktion und Behebung von Sicherheitsvorfällen, um den Schaden zu minimieren und die Wiederherstellung der normalen Betriebsabläufe zu beschleunigen.

Kontinuierliche Verbesserung: Ein systematischer Ansatz zur kontinuierlichen Verbesserung des ISMS, basierend auf den Ergebnissen von Überwachungen, Audits, Vorfällen und anderen Feedbackmechanismen.

 

IT- Assetmanagement

 

IT-Assetmanagement die Verwaltung und Optimierung der physischen und digitalen IT-Ressourcen eines Unternehmens über deren gesamten Lebenszyklus hinweg. Zu dem IT-Ressourcen gehört nicht nur die Hardware, Netzwerkinfrastruktur, sondern ebenso die eingesetzte Software und alle anderen IT-Komponenten. Das Hauptziel des IT-Assetmanagements ist es, den Wert und die Effizienz der IT-Assets zu maximieren, Kosten zu kontrollieren und Compliance-Risiken zu minimieren.

Einige der wichtigsten Faktoren im IT-Assetmanagement sind:

Inventarisierung: Erfassung und Dokumentation aller IT-Assets im Unternehmen. Dies umfasst die detaillierte Auflistung von Hardware, Software, Lizenzen, Netzwerkinfrastrukturen und anderen IT-Ressourcen.

Lebenszyklusmanagement: Verwaltung der IT-Assets über deren gesamten Lebenszyklus hinweg, von der Beschaffung und Installation über die Nutzung und Wartung bis hin zur Außerbetriebnahme und Entsorgung.

Lizenzmanagement: Sicherstellung der Einhaltung von Softwarelizenzverträgen und Optimierung der Nutzung von Softwarelizenzen, um Über- oder Unterlizenzierung zu vermeiden.

Kostenkontrolle: Überwachung und Verwaltung der Kosten, die mit dem Erwerb, der Wartung und dem Betrieb von IT-Assets verbunden sind, um Budgets einzuhalten und Kosteneffizienz zu erreichen.

Compliance: Sicherstellung der Einhaltung gesetzlicher und regulatorischer Anforderungen sowie interner Richtlinien in Bezug auf IT-Assets, einschließlich Datenschutzbestimmungen und Sicherheitsstandards.

Wartung und Support: Planung und Durchführung regelmäßiger Wartungsarbeiten sowie Verwaltung von Supportverträgen, um die Betriebsbereitschaft und Leistungsfähigkeit der IT-Assets zu gewährleisten.

Nutzung und Optimierung: Analyse der Nutzung von IT-Assets, um deren Einsatz zu optimieren und sicherzustellen, dass Ressourcen effizient und effektiv genutzt werden.

Sicherheitsmanagement: Schutz der IT-Assets vor Sicherheitsbedrohungen und -vorfällen durch Implementierung geeigneter Sicherheitsmaßnahmen und Überwachung der IT-Infrastruktur.

Berichterstattung und Analyse: Erstellung von Berichten und Durchführung von Analysen, um Einblicke in den Zustand und die Leistung der IT-Assets zu gewinnen und fundierte Entscheidungen treffen zu können.

 

Risikomanagement

 

Ziel ist es, detaillierte Prozesse im Fall von Sicherheitsvorfällen bereitzustellen. Ein Unternehmen sollte sich nicht die Frage stellen, ob es angegriffen wird, sondern wann das Unternehmen angegriffen wird. Ein wichtiger Punkt ist ebenso, dass der Prozess im Notfall auch ausführbar ist. Beispielsweise dürfen die wichtigen Telefonnummern oder E-Mailadressen nicht nur auf einem IT-System gespeichert werden. Es hilft immer, wenn wichtige Daten, die im Notfall benötigt werden, in Papierform vorliegen.

Außerdem sollen potenzielle Bedrohungen und Schwachstellen erkannt, deren Auswirkungen minimiert werden und sichergestellt, dass die IT-Systeme und -Daten des Unternehmens geschützt und funktionsfähig bleiben.

 

Ausblick

 

In den nächsten Wochen werden wir die einzelnen Punkte ISMS, Assetmanagement und Risikomanagement noch tiefer unter die Lupe nehmen. Dranbleiben lohnt sich!

 

Find us on social media as well!