Informationssicherheit und Schutzbedarfsanalyse (SBA) - So schützen Sie vertrauliche Daten effektiv
Informationssicherheit / Schutzbedarfsanalyse
Im Rahmen der Informationssicherheit bzw. des Informationssicherheitsmanagement wird in der Regel eine Schutzbedarfsanalyse (SBA) durchgeführt. Diese Schutzbedarfsanalyse definiert den Schutzbedarf für die Schutzbedarfsziele Integrität, Vertraulichkeit und Authentizität für Daten, Dokumente und IT-Anwendungen. Der ermittelte Schutzbedarf für die Informationssicherheit bzw. für die Informationswerte wird von den IT-Applikationen auf die dahinter liegenden ICT-Systeme, Netzwerke und ICT-Komponenten vererbt. Grundlage für die Vererbung der Anforderungen an die Informationssicherheit bzw. an den Schutzbedarf ist die Strukturanalyse der ICT-Architektur mit der Identifikation und Gruppierung der ICT-Informationswerte.
Auf der Bais des ermittelten Schutzbedarfs für die Informationswerte werden Sicherheitsmassnahmen für die Informationssicherheit und den Datenschutz sowie zum Schutz der Vertraulichkeit und Integrität festgelegt und umgesetzt. Massnahmen können zum Beispiel Optimierung der Zugriffsrechte oder Verschlüsselung der Daten bei der Speicherung und dem Transport oder Berechtigungssysteme für den Zugriff auf Anwendungen und Daten sein.
Informationssicherheit / Schutzbedarfsanalyse (SBA) und Datenschutz-Folgeabschätzung (DSFA)
Der Schutz der Geschäfts- und Betriebsgeheimnisse und die Vertraulichkeit in Bezug auf die Bearbeitung personenbezogener Daten stellt in den Unternehmen eine grosse Herausforderung dar. Mit einer Datenschutz-Folgenabschätzung (DSFA) wird die Verarbeitung von personenbezogenen Daten in einem folgenabschätzungspflichtigen Verarbeitungsvorgang beschrieben und bewertet. Dabei müssen insbesondere die Risiken für die Rechte und Freiheiten natürlicher Personen, die durch den Verarbeitungsvorgang auftreten, bewertet und durch geeignete Gegenmassnahmen ausreichend eingedämmt werden.
Schutzbedarfsanalyse und Triage Notwendigkeit Datenschutz-Folgeabschätzung
Im Rahmen der Umsetzung der Informationssicherheit bzw. der Ermittlung des notwendigen Schutzbedarfs hinsichlichVertraulichkeit, Verfügbarkeit und Integrität der Daten muss zu Beginn der Rahmen der ICT SystemArchitektur definiert werden. Die Abbildung nebenan stellt die wichtigsten Arbeitsschritte zur Umsetzung der Schutzbedarfsanalyse und Definition der notwendigen Sicherheitsmassnahmen dar. Auf der Basis der Systemarchitektur sind die Informationsflüsse zu analysieren. Es geht dabei darum, festzulegen, auf welchen Systemen, welche sensiblen Daten bearbeitet bzw. transportiert werden. Dazu sind entsprechende Interviews mit Prozessverantwortlichen und Dateneigner notwendig. Der notwendige Schutzbedarf für die verschiedenen ICT-Komponenten wird schlussendlich durch systematische Vererbung über die ICT-Komponenten ermittelt. Als Resultat weiss man zum Schluss genau, welcher Schutzbedarf auf welchen ICT-Komponenten und darüber hinaus auch für alle physischen Ablagen von vertraulichen Informationen notwendig ist. Dies legt dann die Basis für alle notwendigen Sicherheitsmassnahmen für die Informationssicherheit.
Erkenntnisse und Konsequenzen / Zusammenwirken der ISO/IEC Standards
Will man die Geschäftsdaten, das Know-how und die personenbezogenen Daten hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität schützen, ist es ratsam das Projekt in Anlehnung an die folgenden ISO/IEC Normen zu den Themen Informationssicherheit, Schutzbedarfsanalyse, Datenschutz-Folgeabschätzungen / Privacy Impact Analyse zu strukturieren und abzuwickeln:
- ISO/IEC 27001 - Management process/ requirements
- ISO/IEC 29100 - Privacy Framework
- ISO/IEC 27005 - Security risk management
- ISO/IEC 29134 - Privacy impact assessment
- ISO/IEC 27002 - Code of practice for information security controls
- ISO/IEC 29151 - Code of practice for PII protection
Informationssicherheit / Schutzbedarfsanalyse - Beratung / Coaching oder fachliche Unterstützung?
Sie starten ein Projekt Informationssicherheit / Schutzbedarfsanalyse und brauchen fachliche Unterstützung? Sie möchten den Schutzbedarf hinsichtlich Inforationssicherheit ermitteln? Sie suchen einen Projektleiter, Experten, Berater oder Spezialisten? Dann sollten Sie mit uns sprechen. Gerne erläutern wir Ihnen die verschiedenen Möglichkeiten, um Sie zu unterstützen.
Kontaktieren Sie uns oder rufen Sie uns an +41 44 360 40 40.