Häufig stellt sich die Frage, ob sich Informationssicherheit und Qualitätsmanagement ausschließen oder ob zur Wahrung der Informationssicherheit nicht beides gebraucht wird. Die Qualitätssicherung in der Informationssicherheit erfolgt in der heutigen Zeit eher durch Stichproben, als durch gezielte Maßnahmen.
Der Inhalt im Überblick
Umsetzung in Unternehmen
Durch stichprobenartige Überprüfungen können Sicherheitslücken zwar aufgedeckt werden, aber wohl selten sind in den Unternehmen die richtigen Verfahren implementiert, um den rechtlichen Anforderungen gerecht zu werden. Dabei kann es sich um Anforderungen nach dem Aktiengesetz (§93 AktG), Bundesdatenschutzgesetz (§9 BDSG), Basel II und III oder dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) handeln.
Schwierigkeiten in der Organisation
Die Organisation von Datenschutz und Datensicherheit fällt den Unternehmen relativ leicht, da die hier zu beachtenden Regelungen in einzelnen Gesetzen zusammengefasst sind.
Im Gegensatz hierzu fällt die Organisation der Informationssicherheit den Unternehmen ungleich schwerer, da die hierbei zu beachtenden Regelungen auf unterschiedlichste Gesetze verteilt sind. Hinzu kommt, das ein kontinuierlicher Soll- IST Vergleich im Bereich Informationssicherheit nicht konsequent durchgeführt wird.
Verantwortlich für die Umsetzung
Das Festlegen einer Informationssicherheitspolitik muss durch die Geschäftsleitung erfolgen, denn sie ist für die Einhaltung der Compliance verantwortlich.
Andere Richtlinien und Konzepte werden überwiegend durch die IT-Abteilungen erstellt, aber das Kontrollieren der selbigen bleibt im Anschluss daran meistens aus.
Relevanz im Unternehmen
Nehmen wir das Beispiel Updates und Antiviren-Pattern: Ein durchdachtes, gelebtes Patch- und Änderungsmanagement ist erforderlich, um alle im Unternehmen eingesetzten IT-Systeme zu erreichen.
Die IT-Infrastruktur eines Unternehmens ist auf Grund neuer Anforderungen, Anwendungen oder Systeme einem ständigen Wandel unterzogen. Um so wichtiger ist es, einen Prozess zur Erhaltung und/oder zur Verbesserung des angestrebten Sicherheitsniveaus einzurichten. Hier empfiehlt es sich auf Nummer sicher zu gehen, statt sich mit „Quick and Dirty“ zufrieden zu geben.
Fazit
Die Informationssicherheit und das Qualitätsmanagement basieren beide auf kontinuierlichen Verbesserungen (Plan-Do-Check-Act). Viele Unternehmen haben ein QMS eingeführt oder sind ISO 9001 zertifiziert. Hierfür ist vielfach ein Managementsystem eingeführt worden. Diese lässt sich für weitere Standards (z.B. ISO 27001 Informationssicherheit) nutzen, da sich die Standards in Aufbau und Prozessansatz ähneln. Somit können durch die Synergieeffekte bis zu 30 Prozent an Aufwand für Optimierung, Reviews und Audits eingespart werden.
Der Artikel ist ziemlich interessant. Zum Qualitätsmanagement ist es vielleicht vorteilhaft auf QM-Beratung zurückzugreifen. Experten sind wohl wahrscheinlich in jeder Hinsicht hilfreich. Mein Bekannter wurde bei seinem Unternehmen dazu online fündig. [Werbelink entfernt]