Informationssicherung INAS
Der Schutz vor Risiken im Zusammenhang mit der Nutzung, Speicherung und Übertragung von Daten und Informationssystemen sowie der Umgang damit.
Leitfaden
Zu den Aktivitäten gehören unter anderem:
- Das pragmatische und kostengünstige Risikomanagement, um das Vertrauen der Beteiligten zu gewährleisten
- Die formale Systemzertifizierung und ‑zulassung
- Die technische Bewertung und Beurteilung zur Feststellung der Kontrolleffizienz
Informationen und Daten werden in der Regel durch die folgenden fünf Prinzipien geschützt:
- Verfügbarkeit – Die Gewährleistung, dass autorisierte Nutzer einfach auf die benötigten Informationen zugreifen können
- Integrität – Der Schutz von Informationen vor Modifikation, Abruf oder Lösung ohne Autorisierung
- Authentizität – Die Bestätigung der Identität von Nutzern und Geräten
- Vertraulichkeit – Einschränkung des Zugriffs nur auf autorisierte Nutzer
- Nachweisbarkeit – Verhindern eines möglichen Abstreitens, dass eine Aktion durchgeführt wurde, indem gewährleistet wird, dass die Daten dem Original entsprechen
Ebenen der Verantwortung für diese Fähigkeit
3 | 4 | 5 | 6 | 7 |
Informationssicherung: Ebenen 1-2
Diese Fähigkeit wird auf diesen Ebenen der Verantwortung und Rechenschaftspflicht normalerweise nicht beobachtet oder praktiziert.
Informationssicherung: Ebene 3
Befolgt Standardansätze für die technische Bewertung von Informationssystemen im Hinblick auf Strategien zur Informationssicherheit, sowie der Unternehmensziele. Trifft routinemäßige Akkreditierungsentscheidungen. Erkennt Entscheidungen, die über den Zuständigkeitsbereich und die Verantwortungsebene hinausgehen, und eskaliert sie entsprechend. Überprüft und führt Risikobewertungen und Risikobehandlungspläne durch. Identifiziert typische Risikoindikatoren und erklärt Präventionsmaßnahmen. Bewahrt die Integrität der Aufzeichnungen, um Entscheidungen zu unterstützen und zu rechtfertigen.
Informationssicherung: Ebene 4
Führt technische Bewertungen und/oder Akkreditierungen von komplexen oder risikoreicheren Informationssystemen durch. Identifiziert Maßnahmen zur Risikominderung, die zusätzlich zu den Standardmaßnahmen der Organisation oder des Bereichs erforderlich sind. Etabliert die Anforderungen für Akkreditierungsnachweise von Lieferpartnern und teilt den Beteiligten diese Anforderungen mit. Trägt zur Planung und Organisation von Informationssicherungs- und Akkreditierungstätigkeiten bei. Leistet einen Beitrag zur Entwicklung und Umsetzung von Prozessen zur Informationssicherung.
Informationssicherung: Ebene 5
Interpretiert Richtlinien zu Informationssicherung und Sicherheit und wendet diese an, um Risiken zu kontrollieren. Erteilt Ratschläge und Anleitungen, um die Einführung und Einhaltung von Architekturen, Strategien, Richtlinien, Standards und Leitlinien zur Informationssicherung zu gewährleisten. Plant und organisiert die Informationssicherung und ‑zulassung komplexer Fachgebiete, funktionsübergreifender Bereiche sowie über die gesamte Lieferkette und führt diese durch. Trägt zur Entwicklung von Richtlinien, Standards und Leitlinien bei.
Informationssicherung: Ebene 6
Entwickelt Richtlinien, Standards und Leitlinien für die Informationssicherung. Trägt zur Entwicklung von Geschäftsstrategien bei, die sich mit den auftretenden Geschäftsrisiken sowie den Anforderungen an die Informationskontrolle befassen. Fördert die Übernahme und Einhaltung von Richtlinien und Standards. Gewährleistet, dass Architekturprinzipien befolgt, Anforderungen definiert und rigorose Sicherheitstests durchgeführt werden. Gewährleistet, dass Unternehmensziele durch Zulassungsprozesse unterstützt und ermöglicht werden. Überwacht Umwelt- und Markttrends und bewertet die Auswirkungen auf Geschäftsstrategien, Vorteile und Risiken.
Informationssicherung: Ebene 7
Steuert die Erstellung und Überprüfung einer Strategie zur Informationssicherung des Unternehmens zur Unterstützung der strategischen Anforderungen des Geschäfts. Gewährleistet die Übereinstimmung zwischen Geschäftsstrategien und Informationssicherung durch die Einführung von Strategien, Richtlinien, Standards und Praktiken. Leitet die Bereitstellung von Fachwissen, Ratschlägen und Anleitungen zur Informationssicherung über alle Informationen und Informationssysteme des Unternehmens.