Notfallmanagement: Integration in ein ISMS
- 22. März 2022 | Isabelle Lackinger | Allgemeine News
Welche Vorteile können sich aus einer geplanten und abgestimmten Integration eines Notfallmanagements in ein ISMS (Information Security Management System) ergeben?
Großwallstadt, 22.03.2022
Eine der wesentlichen Aufgaben eines ISMS ist es, die Kernprozesse des Unternehmens / der Behörde zu erfassen und eine Verknüpfung zu den IT-Systemen und Anwendungen herzustellen. Die Schutzbedarfe der in den Prozessen verarbeiteten Daten und Informationen bestimmen durch Anwendung des „Vererbungsprinzips“ die Schutzbedarfe der Anwendungen und IT-Systeme.
Die Business Impact Analyse (BIA) des Notfallmanagements / Business Continuity Managements weist einige Parallelen und Überschneidungen zu der, im Rahmen des ISMS erstellten, Schutzbedarfsanalyse (SBA) auf. Häufig wird unabhängig voneinander sowohl eine SBA als auch eine Business Impact Analyse durchgeführt und dabei die Ausnutzung von Synergieeffekten verschenkt. Eine isolierte Betrachtung des Notfallmanagements und im Besonderen der Business Impact Analyse hat ebenfalls den Nachteil, dass es zu methodischen und inhaltlichen Brüchen kommen kann.
Schutzbedarfsanalyse SBA
Bei der Schutzbedarfsfeststellung wird die Frage gestellt, welcher Schaden entstehen kann, wenn für ein Zielobjekt die Grundwerte Vertraulichkeit, Integrität oder Verfügbarkeit verletzt werden. Die bei der SBA ermittelten Schutzbedarfe werden auf Grundlage der Strukturanalyse auf die IT-Systeme, Netzwerke und -komponenten vererbt.
Business Impact Analyse BIA
Bei der Business Impact Analyse werden die direkten und indirekten Folgeschäden betrachtet, die durch das Auftreten eines Notfalls mit Auswirkungen auf kritische Prozesse entstehen können. Im Gegensatz zur SBA, bei der die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit betrachtet werden, richtet die Business Impact Analyse ihren Focus auf den Aspekt der Verfügbarkeitsanforderungen.
Synergieeffekte / abgestimmtes Vorgehen
Neben der Parallele, dass beide Verfahren die Verfügbarkeit als Schutzziel betrachten und sich somit gegenseitig wichtige Anhaltpunkte zur Bewertung der Zielobjekte liefern, bauen beide Verfahren auf den Geschäftsprozessen und den zugeordneten Ressourcen auf.
Die Verknüpfung ausgehend von den Prozessen zu den dahinter liegenden Ressourcen ist somit die Basis für die Erstellung beider Analysen. Die Ergebnisse beider Verfahren sollten sich ineinanderfügen und sich nicht widersprechen. Die gemeinsame Betrachtung bewirk ebenfalls, dass Fehler oder Missverständnisse durch unterschiedliche Terminologien oder Benennungen im Vorfeld vermieden werden können.
Auch die Risikoanalyse des ISMS sollte als weiteres Dokument in Abstimmung mit der Business Impact Analyse erstellt werden, da die Auswirkungen von Ausfällen kritischer Prozesse oder Ressourcen nur dann vollumfänglich bewertet werden können, wenn die Risikoanalyse mitberücksichtigt wird.
Fazit
Wie man sieht, ist ein abgestimmtes Vorgehen des Notfallmanagements mit den Inhalten des ISMS sinnvoll, erspart doppelte Arbeiten und erhöht die Qualität beider Methodiken.
Bei Interesse oder Fragen zur Auswahl und Einführung eines für Ihre Organisation geeigneten Notfallmanagements stehen wir Ihnen gerne beratend zur Seite.