Humboldt-Universität zu Berlin - Lenkungsgruppe Informationsprozesse (LGI)

Humboldt-Universität zu Berlin | Lenkungsgruppe Informationsprozesse (LGI) | Managementsysteme für Informationssicherheit

Managementsysteme für Informationssicherheit

Die Umsetzung der Informationssicherheit an der HU erfolgt auf Grundlage des IT-Grundschutzes, herausgegeben vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Ziel des IT-Grundschutzes ist es, einen angemessenen Schutz für alle Informationen einer Institution zu erreichen.
Die IT-Grundschutz-Methodik zeichnet sich dabei durch einen ganzheitlichen Ansatz aus, um zu einem bedarfsgerechten Sicherheitsniveau für alle Geschäftsprozesse, Informationen und IT-Systeme an der HU zu kommen. Dazu gehört vor allem ein funktionierendes und in die Institution integriertes Sicherheitsmanagement. Das Management für Informationssicherheit (kurz: ISMS) ist jener Teil des allgemeinen Risikomanagements, der die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Geschäftsprozessen, Anwendungen und IT-Systemen gewährleisten soll. Risiken verändern sich mit der Zeit, weshalb zyklische Prozesse nötig sind, um Veränderungen zu erkennen und angemessen darauf reagieren zu können. Üblicherweise wird dafür das Konzept des PDCA-Zyklus zu Hilfe genommen (Plan-Do-Check-Act). [1], [2]

Startpunkte 

Die Dokumentenpyramide (s. Abbildung) besteht aus Dokumenten, die auf strategischer und taktischer Ebene Ziele vorgeben, die dann operativ umgesetzt und dokumentiert werden. Die Dokumente mit blau hinterlegten Rahmen sind von der Universitätsleitung beschlossen worden, wie bspw. die Leitlinie als oberstes Dokument der Informationssicherheit. Die Dokumente mit weiß hinterlegten Rahmen sind spezifisch für Organisationseinheiten, wobei hier exemplarisch die am CMS entstandenen Dokumente abgebildet sind. Im Rahmen des Informationssicherheitsmanagementsystems müssen ähnliche Dokumentstrukturen auch in anderen Organisationseinheiten aufgebaut werden. Aus den Erfahrungen zeigt sich, dass Inhalte für die gesamte Universität generalisiert werden müssen, wie beispielsweise eine Richtlinie für Sicherheitskonzepte (SiKo).

Dokumentenpyramide

Quellen: 

[1] Bundesamt für Sicherheit in der Informationstechnik (BSI) - IT-Grundschutzkompendium

[2] Bundesamt für Sicherheit in der Informationstechnik (BSI) - BSI Standard 200-2 IT-Grundschutz-Methodik