Rufen Sie uns einfach an, und wir beraten Sie gerne zu unserem Seminar- und Studienangebot.
Unsere Ansprechpartner:
Michael Rabbat, Dipl.-Kfm.
MBA Chief Operating Officer
Claudia Hardmeier
Kunden-Center
Studienbetreuung
Institute und Kompetenzzentren
Bindeglied zu einer Vielzahl an
Unternehmen und Organisationen
3.3.1. Aufgaben der Information Security Governance
Information-Security-Governance (ISG) steht für das organisatorische und technische Maßnahmenbündel, das den obligatorischen Grundschutz des Konzerns repräsentiert. Sie ist, wie auch die IT-Governance ein Bestandteil der Corporate-Governance und zielt darauf ab, die IT nach den Anforderungen des Business auszurichten. Hierbei gilt es, für alle Gesellschaften ein vergleichbares Grundschutz-Niveau zu erreichen. ISG definiert das angestrebte Sicherheitsniveau in Form entsprechender Richtlinien. Diese Aufgabe kann auch als strategische Ausrichtung der ISG verstanden werden. Hinzu kommen organisatorische Komponenten des zentralen Managements von Informationsrisiken und deren Reporting, der Darstellung des Nutzens und dessen Messung. Während die Aufgaben der IT-Governance und das Schutzniveau im Bayer-Konzern durch eine Unternehmensrichtlinie 6 geregelt sind, sind Maßnahmen zum Reporting und deren Implementierung nicht näher definiert. Maßnahmen zum Datenschutz im Sinne des Bundesdatenschutzgesetzes sowie das Vorgehen zur Patentierung von Unternehmenserfindungen ist in separaten Anweisungen definiert.
Im hier erarbeiteten Framework wurden die Aufgaben der ISG von den Prozessen der Security-Operation differenziert und in Anlehnung an (McMillan & Scholz, 2010) wie folgt definiert:
Die ISG garantiert die Durchführung aller notwendigen und sinnvollen Maßnahmen, um Aktivitäten und Informations-Assets effektiv und effizient zu schützen. Ziel ist es, die notwendigen Entscheidungen herbei zu führen und zu überwachen.
Die hierfür notwendigen Aktivitäten unterscheiden sich daher deutlich von Serviceangeboten. Da kein bekanntes Framework wie CoBiT oder ISO27001 vollständig erscheint, wurden die Arbeitsfelder der ISG entsprechend der oben genannten Definition konsolidiert und in Tabelle 3 zusammengefasst, um diese möglichst umfassend darzustellen. Die markierten Felder entsprechen den in Kapitel 3.2.2 vorab definierten Governance-Aufgaben. Diese wurden hierfür verallgemeinert und verschiedenen Governance-Kategorien zugeordnet.
| Plan | Implement | Manage | Monitor |
|---|---|---|---|
| Program Strategy | Develop Governance Processes | Accountabilities (RACIs) | Metrics and Measurement |
| Policy Management Strategy | Policy Development | Conflict Conciliation or Arbitration | Project Assessment |
| Budget Planning | Funding | Values Assessment | |
| Architecture | Institute Governance Processes | Program and Project Oversight | Operational Oversight |
| Develop process control | Communication and Awareness |
Tabelle 3: Konsolidierte Darstellung der Arbeitsfelder der Information-Security-Governance basierend auf CoBit, ISO27001 und eigenen Erfahrungen.
Obwohl diese Darstellung theoretisch ist, kann sie wertvolle Hinweise auf Lücken im gewählten Architekturmodell der ISG liefern. Auf der Implementierungsebene sollte stets darauf geachtet werden, dass Governance-Aufgaben nicht zu einem „Elfenbeinturm“ mutieren und auf strategischer Ebene die Vorhaben der Geschäftseinheiten widerspiegeln. Die Eignung des Architekturmodells, die Business-Strategie adäquat und flexibel zu unterstützen, ist gegenüber den Geschäftseinheiten als überzeugendes Argument entscheidend.
| Objectives | Main Activities | Who | |
|---|---|---|---|
| Program Strategy | Define and Communicate strategy, run gap analysis | Conduct interviews, gather input, find sponsor | ISO, CIO, Project Team |
| Policy Management Strategy | Ensure consistent set of policies | Set principles, define needs and documents | ISO, Security Team |
| Budget Planning | Ensure appropriate funding | Prioritize objectives, design business case | CIO, CAO |
| Architecture | Develop architecture model, design risk management strategy | Run design workshops, review best-practice models, align model to business needs | ISO, CIO |
| Develop Governance Processes | Define governance processes | Define and align goals and define sequence of action steps | ISO, Chief internal Auditor |
| Policy Development | Implement Policy Management Strategy | Write and review policies and guidelines | ISO, Security Team |
| Institute Governance Forums | Ensure organizational setup and empowerment | Ensure proper sponsorship by top management, make organization visible | CIO, CAO |
| Develop process control | Work out control framework | Identify processes to control, design effective measures | ISO, Internal auditing Department |
| Accountabilities (RACIs) | Manage expectations and define responsibilities | Set up RACI-Matrix for relevant activities and sign of | ISO, project Team |
| Conflict Conciliation or Arbitration | Avoid and overcome conflicting interests | Moderate, provide guidance and clear conflicts | ISO, CIO |
| Funding | Ensure proper spends of budgeted funds | Review and approve purchase orders | ISO, CIO |
| Program and Project Oversight | Ensure proper function and coverage of security activities | Review work and projects plans, check status reports | CIO, CAO |
| Communication and Awareness | Ensure acceptance and required behavior change | Drive Change Management as visible and continuous effort | ISO, CIO, HR and Com-Department, CAO |
| Metrics and Measurement | Measure and report impact if information security program | Define metrics and measure points (KPIs) | ISO, Security-Team |
| Project Assessment | Ensure proper implementation in other project | Be part of project approval team, review projects on demand | ISO, Security-Team |
| Values Assessment | Ensure that risk management deliver expected results | Review estimations of values and benefits form information risk management activities | CIO, CAO, Chief internal Auditor |
| Operational Oversight | Ensure correct execution of security program and processes | Periodically review program and projects, processes, activities | ISO, Security Team, internal Auditing Department |
Tabelle 4: Überblick über die Arbeitsfelder der Information-Security-Governance hinsichtlich Zielen, Aufgaben und Verantwortlichkeiten.
Tabelle 4 charakterisiert jedes Arbeitsfeld der Security-Governance aus Tabelle 3 in Bezug auf zu erreichende Ziele (Objectives), Aktivitäten und Verantwortlichkeiten. Sie dient als Grundlage für die Implementierung. Die unterlegten Felder grenzen die vier in Tabelle 3 markierten Arbeitsfelder voneinander ab.
6 Groupdirective 1435 „IT-Security“ V2.0 mit Gültigkeit vom